這幾天,只要你擺渡“Java”、“反序列化漏洞”等關鍵詞,有關【java反序列化漏洞——2015年被低估的“破壞之王”】、【一個被嚴重忽略了的漏洞】等標題就赫然出現。
這不是危言聳聽!!!
2015年最為被低估的,具有巨大破壞力的漏洞浮出水面!該漏洞會將數以千計的Java應用程序及服務器置于遭到遠程代碼攻擊的危險處境中。
(一) Java程序員們,你是否在使用以下應用服務器
JBoss Enterprise Application Platform 6.4.4,5.2.0,4.3.0_CP10
JBoss AS (Wildly) 6 and earlier
JBoss A-MQ 6.2.0
JBoss Fuse 6.2.0
JBoss SOA Platform (SOA-P) 5.3.1
JBoss Data Grid (JDG) 6.5.0
JBoss BRMS (BRMS) 6.1.0
JBoss BPMS (BPMS) 6.1.0
JBoss Data Virtualization (JDV) 6.1.0
JBoss Fuse Service Works (FSW) 6.0.0
JBoss Enterprise Web Server (EWS) 2.1,3.0
這些,是java反序列化漏洞已確定的影響范圍。
(二) Java程序員們,你的Lib目錄下是否有這個JAR包
Apache-commons-collections
也要注意了,因為已經有人用它造成了代碼執行漏洞。
然而簡單了解以上是遠遠不夠的!
此刻,你需要的是實際操作!
via 合天網安實驗室
