0x00事件背景

---

Apache Synapse 是一个简单、轻量级的高性能企业服务总线 (ESB)，它是在 Apache Software Foundation 的 Apache License Version 2.0 下发布的。使用 Apache Synapse，您可以通过 HTTP、HTTPS、Java™ Message Service (JMS)、简单邮件传输协议 (SMTP)、邮局协议版本 3 (POP3)、FTP、文件系统和许多其他传输介质筛选、转换、路由、操作和监视经过大型企业系统的 SOAP、二进制文件、XML 和纯文本消息。

在 2017 年 12 月 10 日，Apache 官方公开了关于 Apache Synapse 存在严重漏洞（CVE-2017-15708），可导致远程代码执行，360CERT 随后对该漏洞进行了分析验证。

0x01 漏洞描述

---

Apache Synapse 在启动后会开启 RMI 服务（端口 1099）,由于该服务未对请求的对象类型进行校验，存在反序列化漏洞。同时，Apache Synapse 使用了版本较低的库 commons-collections-3.2.1 。通过使用该库中存在的 Gadget 在反序列化时是可以实现远程代码执行。

使用 ysoserial 来做一个利用验证

由于是出现在 RMI 的反序列漏洞，如果用户使用的 Java 的版本高于 8u121，7u131，6u141 也不会受到该漏洞的影响，因为在后面的版本加入了反序列化过滤机制。

0x02 全网影响

---

影响版本

Apache Synapse 3.0.0, 2.1.0, 2.0.0, 1.2, 1.1.2, 1.1.1

根据 360CERT 全网资产检索平台实时显示数据

0x03 修复建议

---

1. 升级到最新版本 3.0.1

2. 使用高版本的 Java

0x04 时间线

---

2017 年 12 月 10 日 Apache Synapse 远程代码执行漏洞公开

2017 年 12 月 11 日 360CERT发布预警

0x05 参考链接

---

http://www.openwall.com/lists/oss-security/2017/12/10/4

长按下方二维码关注360CERT！谢谢你的关注！

---

网站地址：https://cert.360.cn

注：360CERT官方网站提供《Apache Synapse 远程代码执行漏洞（CVE-2017-15708）预警》完整详情，点击Read more

本文分享自微信公众号 - 三六零CERT（CERT-360）。
如有侵权，请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”，欢迎正在阅读的你也加入，一起分享。