漏洞信息详情
Apache Geronimo RMI Classloader 安全绕过漏洞
- CNNVD编号:CNNVD-201307-039
- 危害等级: 超危
- CVE编号: CVE-2013-1777
- 漏洞类型: 代码注入
- 发布时间: 2013-07-04
- 威胁类型: 远程
- 更新时间: 2013-08-02
- 厂 商: apache
- 漏洞来源: Pierre Ernst of IBM
漏洞简介
IBM WebSphere Application Server(WAS)是美国IBM公司开发并发行的一款应用服务器产品。Apache Geronimo是美国阿帕奇(Apache)软件基金会的一款开源的J2EE服务器产品,该产品具有可伸缩性、可进行配置管理等特点。
IBM WAS Community Edition 3.0.0.3版本和其他产品中使用的Apache Geronimo 3.0.1之前的3.x版本中的JMX Remoting功能中存在漏洞,该漏洞源于程序没有正确实现RMI类加载器。远程攻击者可通过使用JMX连接器发送特制的序列化对象,利用该漏洞控制系统,执行任意代码。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://issues.apache.org/jira/browse/GERONIMO-6477
参考网址
来源: issues.apache.org
链接:https://issues.apache.org/jira/browse/GERONIMO-6477
来源: www-01.ibm.com
链接:http://www-01.ibm.com/support/docview.wss?uid=swg21643282
来源: geronimo.apache.org
链接:http://geronimo.apache.org/30x-security-report.HTML
来源: BUGTRAQ
名称: 20130701 [SECURITY] CVE-2013-1777: Apache Geronimo 3 RMI classloader exposure
链接:http://archives.neohapsis.com/archives/bugtraq/2013-07/0008.HTML
来源: BID
名称: 60875
链接:http://www.securityfocus.com/bid/60875
受影响实体
- Apache Geronimo:3.0
- Apache Geronimo:3.0:Beta1
- Apache Geronimo:3.0:M1
补丁
暂无
评论