近日，国家信息安全漏洞库（CNNVD）收到关于Apache Synapse 远程代码执行漏洞（CNNVD-201710-1018）情况的报送。攻击者可利用该漏洞通过注入恶意的序列化对象执行远程代码，Apache Synapse 3.0.0, 2.1.0, 2.0.0, 1.2, 1.1.2, 1.1.1版本均受影响。目前Apache Synapse官方已发布最新版本修复该漏洞，建议受漏洞影响的用户及时安装相应软件的最新版本以避免受漏洞影响。

一、漏洞介绍

        Apache Synapse是美国阿帕奇（Apache）软件基金会的一款轻量级ESB（企业服务总线）。Apache Commons Collections是使用在其中的一个提供了Java集合框架的库。

        Apache Synapse 多个版本中存在远程代码执行漏洞（CNNVD-201710-1018、CVE-2017-15708）。Apache Synapse启动后会开启RMI服务（端口 1099），该漏洞是由于该服务使用较低版本的Apache Commons Collections 库，未对请求的对象进行类型校验，远程攻击者可通过注入特制的序列化对象利用该漏洞执行代码。

二、危害影响

        未经身份验证的远程攻击者可利用漏洞注入恶意序列化对象实现远程代码执行。Apache Synapse 3.0.0, 2.1.0, 2.0.0, 1.2, 1.1.2, 1.1.1版本均受影响。

三、修复建议

        目前Apache Synapse官方已发布最新版本修复该漏洞，建议受漏洞影响的用户及时安装相应软件的最新版本以避免受漏洞影响。

        针对Apache Synapse，建议更新至3.0.1版本，链接如下：

        http://synapse.apache.org/download/3.0.1/download.cgi

        本通报由360集团360CERT提供支持。

        CNNVD将继续跟踪上述漏洞的相关情况，及时发布相关信息。如有需要，可与CNNVD联系。

        联系方式: [email protected]