安全公告/【CVE-2021-3156】

基本信息

漏洞描述

Apache Commons Collections是一个扩展了Java标准库里的Collection结构的第三方基础库，它提供了很多强有力的数据结构类型并且实现了各种集合工具类。作为Apache开源项目的重要组件，Commons Collections被广泛应用于各种Java应用的开发。 Apache Commons Collections库实现了一个TransformedMap类，该类是对Java标准数据结构Map接口的一个扩展。该类可以在一个元素被加入到集合内时，自动对该元素进行特定的修饰变换，具体的变换逻辑由Transformer类定义，Transformer在TransformedMap实例化时作为参数传入。而Apache Commons Collections已经内置了一些常用的Transformer，如InvokerTransformer类。研究人员发现InvokerTransformer类可以通过调用Java的反射机制来调用任意函数，从而导致任意代码执行。 Apache Commons Collections在3.2.2版本中做了一定的安全处理，对InvokerTransformer、InstantiateTransformer等不安全的Java类的序列化支持增加了开关，开关默认为关闭状态。 如果没有开启不安全类的序列化开关，漏洞利用时则会抛出异常。 Commons Collections4中也存在内置的可能被攻击的类，存在被反序列化利用的风险。

修复方式

将 Apache Commons Collections 升级到 3.2.2、4.1 及以上版本，下载地址：http://commons.apache.org/proper/commons-collections/download_collections.cgi

漏洞判定

版本比对检测原理：检查当前系统中commons-collections的jar包版本是否在3.0到3.2.1中或者等于4.0版本。其他版本若开启或使用不安全的Java类的序列化依旧存在此漏洞，需自行排查。|版本比对检测结果：- commons-collections
  当前安装版本：3.1
  应用相关信息：
  - 进程PID：14812
  - 应用路径：/home/weblogic/bea/user_projects/domains/shtd/uploads/dmrole/WEB-INF/lib/commons-collections.jar
- commons-collections
  当前安装版本：3.1
  应用相关信息：
  - 进程PID：14812
  - 应用路径：/home/weblogic/bea/user_projects/domains/shtd/uploads/dmp/WEB-INF/lib/commons-collections.jar
- commons-collections
  当前安装版本：3.1
  应用相关信息：
  - 进程PID：14812
  - 应用路径：/home/weblogic/bea/user_projects/domains/shtd/uploads/dmt/WEB-INF/lib/commons-collections.jar
该主机存在此漏洞

参考

--