产品动态 > 正文

【漏洞预警】RichFaces远程代码执行漏洞

2018-11-09

“事件回顾”
RichFaces是一个基于LGPL协议开放源代码的JSF(JavaServer Faces)组件库,它能够使应用开发方便地集成AJAX。现在的RichFaces库是由Ajax4jsf和RichFaces两部分组成。

RichFaces Framework 3.X到3.3.4很容易通过UserResource资源注入表达式语言(EL)。 远程未经身份验证的攻击者可以通过org.ajax4jsf.resource.UserResource $ UriData使用一系列java序列化对象来利用它来执行任意代码,并获取目标系统的所有权限。

媒体聚焦|网宿携手新疆喀什教育局,推动民族地区走出智慧教育新路

“影响范围”
Enterprise Application Platform 5.2
Red Hat JBoss BRMS 5.3.1
Red Hat JBoss SOA Platform 5.3.1
Red Hat Developer Studio 12.9

“官方修复方案”
建议在RichFaces中禁用表达式语言评估; 或者,如果这不可行,则添加从不受信任来源收到的任何表达语言的清理。 可以在其getResourceDataForKey方法中的ResourceBuilderImpl类调用LookAheadObjectInputStream(基于列入白名单的类对数据进行反序列化)之后添加表达式语言白名单。

“网宿云安全实时防护”
网宿云WAF已于漏洞公开后的第一时间更新防护策略,为平台客户实时抵御威胁。同时,网宿云安全已开通漏洞响应快速通道,受本次漏洞影响的网站负责人可以致电网宿科技7*24小时客服热线,在安全专家的指导下快速接入网站,立即启动防护。

网宿云WAF能够防护已知的各类漏洞,同时,还可以基于对大量监控数据的实时分析,可以第一时间发现并防护新出现的漏洞,保障网站底层框架的安全。

本文内容的版权持有者为网宿科技股份有限公司(“网宿科技”),未经许可,不得转载。