一、漏洞简介
JBoss是一个管理EJB的容器和服务器,支持EJB 1.1、EJB 2.0和EJB3的规范。在/invoker/readonly路径下,攻击者可以构造序列化代码传入服务器进行反序列化,由于没有对反序列化操作进行任何检测,导致攻击者可以执行任意代码。
而jboss的漏洞出现在HttpInvoker组件中的ReadOnlyAccessFilter过滤器中,源码在jboss\server\all\deploy\httpha-invoker.sar\invoker.war\WEB-INF\classes\org\jboss\invocation\http\servlet目录下的ReadOnlyAccessFilter.class文件中,其中doFilter函数代码如上。
可以看出它从http中获取数据,通过调用readobject()方法对数据流进行反序列操作,但是没有进行检查或者过滤。
二、影响版本
JBoss 5.x / 6.x
三、漏洞利用
使用这个工具
yunxu1/jboss-_CVE-2017-12149: CVE-2017-12149 jboss反序列化 可回显 (github.com)
四、漏洞修复
1、修改web.xml文件
详情看这
Jboss 反序列化(CVE-2017-12149)的复现及修复方案 - sainet - 博客园 (cnblogs.com)
2、不需要http-invoker.sar组件的直接删除
3、升级jboss到jboss7x版本
