Apache OFBiz 远程代码执行漏洞风险通告

sugar 2021-04-30
专栏 - 资讯 发布于 2021-04-30 11:50:21 阅读 278 评论 0

2021年04月28日,Apache OFBiz官方发布了两个高危漏洞风险通告,Apache OFBiz在17.12.07之前的版本中具有不安全的反序列化,攻击者成功利用漏洞可能触发RCE(远程代码执行),腾讯安全专家建议受影响的用户及时将Apache OFBiz升级到最新版本。

1 漏洞详情

CVE-2021-29200:Java RMI反序列化漏洞

CVE-2021-30128:反序列化漏洞

OFBiz是著名的电子商务平台,提供了创建基于最新J2EE/XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。

2 漏洞等级

严重,漏洞评分:9.8。

3 受影响的版本

Apache OFBiz < 17.12.07

4 安全版本

Apache OFBiz 17.12.07

5 腾讯安全网络空间测绘

腾讯安全网络空间测绘系统对全网资产测绘结果显示,OFBiz组件主要分布于美国、中国、印度(合计超75%),中国大陆地区,浙江(43.14%)、上海(29.41%)、北京(9.80%)位居前三,三省市合计占比超过80%。

图片

腾讯安全网络空间测绘平台通过空间测绘技术,可针对该类漏洞进行监测与响应,如有需要可联系 es@tencent.com 了解产品详情。

6 漏洞修复建议

腾讯安全专家建议受影响的用户升级Apache OFBiz 到最新版本
https://www.apache.org/dyn/closer.lua/ofbiz/apache-ofbiz-17.12.07.zip

注:修复漏洞前请将资料备份,并进行充分测试。

7 时间线

2021年4月27日,Apache OBFiz发布安全通告;
2021年4月28日,腾讯安全发布风险通告。

https://www.mail-archive.com/announce@apache.org/msg06506.html
https://www.mail-archive.com/announce@apache.org/msg06507.html

原创:腾讯安全威胁情报中心
原文链接:https://mp.weixin.qq.com/s/g9MzLdGnq8tL_Iu...

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!