Apache Synapse描述
Apache Synapse是一个轻量级且高性能的企业服务总线(ESB)。 Apache Synapse由快速异步中介引擎提供支持,为XML,Web服务和REST提供了卓越的支持。 除了XML和SOAP,Apache Synapse还支持其他几种内容交换格式,如纯文本,二进制,Hessian和JSON。 可用于Synapse的各种传输适配器使其能够通过许多应用层和传输层协议进行通信。 截至目前,Apache Synapse支持HTTP / S,邮件(POP3,IMAP,SMTP),JMS,TCP,UDP,VFS,SMS,XMPP和FIX。
在 2017 年 12 月 10 日,Apache 官方公开了关于 Apache Synapse 存在严重漏洞(CVE-2017-15708),可导致远程代码执行。
漏洞名称
Apache Synapse 远程代码执行漏洞
公开日期
2017 年 12 月 10 日
漏洞编号
CVE–2017–15708
漏洞描述
Apache Synapse 在启动后会开启 RMI 服务(端口 1099),由于该服务未对请求的对象类型进行校验,存在反序列化漏洞。同时,Apache Synapse 使用了版本较低的库 commons-collections-3.2.1 。通过使用该库中存在的 Gadget 在反序列化时是可以实现远程代码执行。
影响版本
Apache Synapse version < 3.0.1 {3.0.0、2.1.0、2.0.0、1.2、1.1.2、1.1.1}
由于是出现在 RMI 的反序列漏洞,如果用户使用的 Java 的版本高于 8u121,7u131,6u141 也不会受到该漏洞的影响,因为在后面的版本加入了反序列化过滤机制。
漏洞利用
Synapse版本:2.1.0
JDK版本:1.7.0_15
使用Wget + DNSLOG可进一步利用。
修复建议
升级到最新版本 3.0.1
使用高版本的 Java
