通知公告

关于Apache Jackrabbit远程代码执行漏洞的预警通报
发布日期:2023-09-25 16:50 浏览量:

Apache Jackrabbit远程代码执行漏洞,漏洞编号:CVE-2023-37895,漏洞威胁等级:高危。

由于使用的commons-beanutils组件中存在一个可通过RMI远程执行代码的类,可通过构造恶意序列化数据,并发送到目标系统上的RMI服务端口(默认为1099端口)或发送到RMI-over-HTTP路径(默认使用路径“/rmi”),当目标系统反序列化该数据时可能导致远程代码执行。

Apache Jackrabbit是一个强大的开源内容存储库,实现了Java的内容存储库规范(JSR-170和JSR-283)。

(一)漏洞影响范围:

2.21.0≤Apache Jackrabbit Webapp (jackrabbit-webapp)

<2.21.18

1.0.0≤Apache Jackrabbit Webapp (jackrabbit-webapp)

<2.20.11

2.21.0≤Apache Jackrabbit Standalone (jackrabbit-stand

alone and jackrabbit-standalone-components)<2.21.18

1.0.0≤Apache Jackrabbit Standalone (jackrabbit-standa

lone and jackrabbit-standalone-components)<2.20.11

(二)漏洞修复建议:

一是如果启用RMI,未修复的组件很容易受到RCE攻击,可以通过关闭RMI支持来缓解该漏洞;

二是通过WAF监测外网对Jackrabbit webapp/standalone中RMI特殊接口API路径的访问;

三是加强系统和网络的访问控制,修改防火墙策略,关闭非必要的应用端口或服务,减少将危险服务(如SSH、RDP等)暴露到公网,减少攻击面;

四是请检查localhost:8080/rmi上的HTTP GET请求是否返回404(未启用)或200(启用);

五是建议受影响的用户及时升级到最新版本:https://jackrabbit.apache.org/jcr/downloads.html#apache-jackrabbit-2-21-18-july-24th-2023。