漏洞信息详情

Apache Geronimo RMI Classloader 安全绕过漏洞

• CNNVD编号：CNNVD-201307-039
• 危害等级： 超危
  
• CVE编号： CVE-2013-1777
• 漏洞类型： 代码注入
• 发布时间： 2013-07-04
• 威胁类型： 远程
• 更新时间： 2013-08-02
• 厂        商： apache
• 漏洞来源： Pierre Ernst of IBM

漏洞简介

IBM WebSphere Application Server（WAS）是美国IBM公司开发并发行的一款应用服务器产品。Apache Geronimo是美国阿帕奇（Apache）软件基金会的一款开源的J2EE服务器产品，该产品具有可伸缩性、可进行配置管理等特点。

IBM WAS Community Edition 3.0.0.3版本和其他产品中使用的Apache Geronimo 3.0.1之前的3.x版本中的JMX Remoting功能中存在漏洞，该漏洞源于程序没有正确实现RMI类加载器。远程攻击者可通过使用JMX连接器发送特制的序列化对象，利用该漏洞控制系统，执行任意代码。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

https://issues.apache.org/jira/browse/GERONIMO-6477

参考网址

来源: issues.apache.org

链接:https://issues.apache.org/jira/browse/GERONIMO-6477

来源: www-01.ibm.com

链接:http://www-01.ibm.com/support/docview.wss?uid=swg21643282

来源: geronimo.apache.org

链接:http://geronimo.apache.org/30x-security-report.HTML

来源: BUGTRAQ

名称: 20130701 [SECURITY] CVE-2013-1777: Apache Geronimo 3 RMI classloader exposure

链接:http://archives.neohapsis.com/archives/bugtraq/2013-07/0008.HTML

来源: BID

名称: 60875

链接:http://www.securityfocus.com/bid/60875

受影响实体

• Apache Geronimo:3.0  
• Apache Geronimo:3.0:Beta1  
• Apache Geronimo:3.0:M1  

补丁

暂无