Apache OFBiz反序列化漏洞致RCE风险通告

2021-04-28 11:23:56
Apache OFBiz官方发布了两个高危漏洞风险通告,Apache OFBiz在17.12.07之前的版本具有不安全的反序列化,攻击者成功利用漏洞可能触发RCE(远程代码执行)。

20210427日,Apache OFBiz官方发布了两个高危漏洞风险通告,Apache OFBiz在17.12.07之前的版本具有不安全的反序列化,攻击者成功利用漏洞可能触发RCE(远程代码执行)

 

OFBiz是著名的电子商务平台,提供了创建基于最新J2EE/XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。

 

腾讯安全专家建议受影响的用户及时将Apache OFBiz升级到最新版本。

 

漏洞编号:

CVE-2021-29200

CVE-2021-30128

 

漏洞等级:严重,漏洞评分:9.8

 

漏洞详情:

CVE-2021-29200 Java RMI反序列化漏洞

由于Apache OFBiz存在Java RMI反序列化漏洞,未经身份验证的用户可以执行RCE(远程代码执行)攻击,导致服务器被接管。

 

CVE-2021-30128: 反序列化漏洞

由于Apache OFBiz存在不安全的反序列化,可能会导致代码执行,服务器被接管。

 

受影响的版本:

Apache OFBiz < 17.12.07

 

安全版本:

Apache OFBiz  17.12.07


腾讯安全网络空间测绘:


腾讯安全网络空间测绘系统对全网资产测绘结果显示,OFBiz组件主要分布于美国、中国、印度(合计超75%),中国大陆地区,浙江(43.14%)、上海(29.41%)、北京(9.80%)位居前三,三省市合计占比超过80%。

腾讯安全网络空间测绘平台通过空间测绘技术,可针对该类漏洞进行监测与响应,如有需要可联系 es@tencent.com 了解产品详情。


 

漏洞修复建议:

腾讯安全专家建议受影响的用户升级Apache OFBiz 到最新版本。

下载地址:

https://www.apache.org/dyn/closer.lua/ofbiz/apache-ofbiz-17.12.07.zip

  

腾讯安全解决方案:

腾讯T-Sec Web应用防火墙(WAF)支持检测防护Apache OFBiz漏洞利用。


时间线:

2021427日,Apache OBFiz发布安全通告;

2021428日,腾讯安全发布风险通告。

 

参考链接:

https://www.mail-archive.com/announce@apache.org/msg06506.html

https://www.mail-archive.com/announce@apache.org/msg06507.html



扫描以下二维码关注“腾讯安全威胁情报中心”公众号,掌握最新的网络安全威胁情报。


最新资讯