长按二维码关注
腾讯安全威胁情报中心
2021年04月28日,Apache OFBiz官方发布了两个高危漏洞风险通告,Apache OFBiz在17.12.07之前的版本中具有不安全的反序列化,攻击者成功利用漏洞可能触发RCE(远程代码执行),腾讯安全专家建议受影响的用户及时将Apache OFBiz升级到最新版本。
1
漏洞详情
CVE-2021-29200:Java RMI反序列化漏洞
由于Apache OFBiz存在Java RMI反序列化漏洞,未经身份验证的用户可以执行RCE(远程代码执行)攻击,导致服务器被接管。
CVE-2021-30128:反序列化漏洞
由于Apache OFBiz存在不安全的反序列化,可能会导致代码执行,服务器被接管。
OFBiz是著名的电子商务平台,提供了创建基于最新J2EE/XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。
2
漏洞等级
严重,漏洞评分:9.8。
3
受影响的版本
Apache OFBiz < 17.12.07
4
安全版本
Apache OFBiz 17.12.07
5
腾讯安全网络空间测绘
腾讯安全网络空间测绘系统对全网资产测绘结果显示,OFBiz组件主要分布于美国、中国、印度(合计超75%),中国大陆地区,浙江(43.14%)、上海(29.41%)、北京(9.80%)位居前三,三省市合计占比超过80%。
腾讯安全网络空间测绘平台通过空间测绘技术,可针对该类漏洞进行监测与响应,如有需要可联系 es@tencent.com 了解产品详情。
6
漏洞修复建议
腾讯安全专家建议受影响的用户升级Apache OFBiz 到最新版本
https://www.apache.org/dyn/closer.lua/ofbiz/apache-ofbiz-17.12.07.zip
注:修复漏洞前请将资料备份,并进行充分测试。
7
时间线
2021年4月27日,Apache OBFiz发布安全通告;
2021年4月28日,腾讯安全发布风险通告。
参考链接:
https://www.mail-archive.com/announce@apache.org/msg06506.html
https://www.mail-archive.com/announce@apache.org/msg06507.html
关于腾讯安全威胁情报中心
腾讯安全威胁情报中心是一个涵盖全球多维数据的情报分析、威胁预警分析平台。依托顶尖安全专家团队支撑,帮助安全分析人员、安全运维人员快速、准确地对可疑威胁事件进行预警、处置和溯源分析。
长按二维码关注
腾讯安全威胁情报中心
