Apache QPID 反序列化安全功能绕过漏洞(CVE-2016-4974)

Apache QPID 反序列化安全功能绕过漏洞(CVE-2016-4974)

Apache QPID 反序列化安全功能绕过漏洞(CVE-2016-4974)

发布日期：2016-07-13
更新日期：2016-07-14

受影响系统：

Apache Group Qpid AMQP 0-x JMS client <= 6.0.3
Apache Group Qpid JMS (AMQP 1.0) client <= 0.9.0

描述：

---

BUGTRAQ  ID: 91537
CVE(CAN) ID: CVE-2016-4974

Apache Qpid Java是消息代理中间件。用Java编写，使用AMQP存储、路由、转发消息。

Apache Qpid AMQP 0-x JMS客户端6.0.4之前版本、JMS (AMQP 1.0) 0.10.0之前版本，未限制类路径上的类使用，远程攻击者通过JMS ObjectMessage内构造的序列化对象，经getObject函数处理时，会反序列化任意对象，执行任意代码。

<*来源：Matthias Kaiser
  *>

建议：

---

厂商补丁：

Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://qpid.apache.org/components/jms/security-0-x.html
https://issues.apache.org/jira/browse/QPIDJMS-188
http://qpid.apache.org/components/jms/security.html

参考：
http://www.securitytracker.com/id/1036239
http://www.securityfocus.com/archive/1/archive/1/538813/100/0/threaded
http://packetstormsecurity.com/files/137749/Apache-Qpid-Untrusted-Input-Deserialization.html

本文永久更新链接地址：