0
0

J2EE框架DDoS漏洞预警公告

空虚浪子心 发表于 2014年03月19日 14:54 | Hits: 2239
Tag: Java Security | WEB SECURITY | 原创文章

有朋友聊天,我才想起来这篇预警。 这个漏洞非常凶残,使用J2EE框架的,基本都被X了。只要是个J2EE的网站,这个漏洞必须打补丁,否则等死。 从时间上看,阿里巴巴的框架第一个修补漏洞。 http://openwebx.org/forum/showthread.php?tid=634 不知道各位的CPU满过没有,如果没有满,往这里来: http://www.exploit-db.com/exploits/31615/J2EE框架DDoS漏洞预警 已确认被成功利用的软件及系统: 大部分常见J2EE WEB框架 STRUTS1全版本(只影响使用uploadform的action) STRUTS2全版本(任何一个action都受影响) Spring MVC全版本(任何一个controller都受影响) 所有使用了apache commons fileupload的组件的应用,包括纯JSP页面 Commons FileUpload 1.0 to 1.3 部分服务器自带了upload组件,可以直接让JSP调用 Apache Tomcat 8.0.0-RC1 to 8.0.1 Apache Tomcat 7.0.0 to 7.0.50 JBOSS由于重用tomcat源码所以受到影响漏洞描述: Apache Commons FileUpload 1.3在处理mime-multipart请求时,攻击者可以构造一个包含异常http头的请求,使得apache fileupload进入无限循环,导致CPU爆满,拒绝服务。 漏洞分析这次就不发了,原理太简单,就是个循环无法退出。 PID   COMMAND   %CPU 8070   mdworker     1.3 8069   sleep           0.0 8066   top             11.2 8064   java            101.2 这个漏洞可以用于攻击大多数J2EE框架,常见J2EE框架,总会默认使用FileUpload组件,并且在所有用户代码前完成上传文件的预处理,这导致无论开发者是否手工调用该组件,都会默认执行。 此漏洞的POC已经被攻击者发布,请尽快修补该问题,以免造成损失。 ps:如果运维过程中,发现CPU无故飙升,可以优先考虑这个因素。修补方案: 升级Apache Commons FileUpload 1.3.1 或之后版本 升级Apache Tomcat 8.0.2 或之后版本 升级 Apache Tomcat 7.0.51 或之后版本 http://markmail.org/message/kpfl7ax4el2owb3o http://tomcat.apache.org/security-8.html http://tomcat.apache.org/security-7.html  

继续阅读 »

原文链接: https://www.inbreak.net/archives/543

0     0

评价列表(0)