这几天,只要你摆渡“Java”、“反序列化漏洞”等关键词,有关【java反序列化漏洞——2015年被低估的“破坏之王”】、【一个被严重忽略了的漏洞】等标题就赫然出现。
这不是危言耸听!!!
2015年最为被低估的,具有巨大破坏力的漏洞浮出水面!该漏洞会将数以千计的Java应用程序及服务器置于遭到远程代码攻击的危险处境中。
(一) Java程序员们,你是否在使用以下应用服务器
JBoss Enterprise Application Platform 6.4.4,5.2.0,4.3.0_CP10
JBoss AS (Wildly) 6 and earlier
JBoss A-MQ 6.2.0
JBoss Fuse 6.2.0
JBoss SOA Platform (SOA-P) 5.3.1
JBoss Data Grid (JDG) 6.5.0
JBoss BRMS (BRMS) 6.1.0
JBoss BPMS (BPMS) 6.1.0
JBoss Data Virtualization (JDV) 6.1.0
JBoss Fuse Service Works (FSW) 6.0.0
JBoss Enterprise Web Server (EWS) 2.1,3.0
这些,是java反序列化漏洞已确定的影响范围。
(二) Java程序员们,你的Lib目录下是否有这个JAR包
Apache-commons-collections
也要注意了,因为已经有人用它造成了代码执行漏洞。
然而简单了解以上是远远不够的!
此刻,你需要的是实际操作!
via 合天网安实验室
