jboss存在的反序列化漏洞

jboss存在反序列化漏洞 , CVE-2017-12149

jboss漏洞出现在ReadOnlyAccessFilter.java中 , 的doFilter方法 , 程序获取到http数据保存到了

httpRequest中, 序列化后保存到ois中 , 然后 没有进行过滤操作 , 直接使用了readObject方法进行反序列化 ,造成典型的反序列化

漏洞

此漏洞影响范围:

jboss5.x和6.x

漏洞利用可以使用香草反序列化工具, 网上类似工具很多

关于修复漏洞建议如果不使用该组件可以删除 , 或添加代码监控 , 或者升级jar包