北京赛克艾威科技有限公司 2024-12-25
Apache MINA 是一个功能强大、灵活且高性能的网络应用框架。它通过抽象网络层的复杂性,提供了事件驱动架构和灵活的 Filter 链机制,使得开发者可以更容易地开发各种类型的网络应用。 Apache MINA 框架的 ObjectSerializationDecoder 类中存在一个反序列化漏洞。漏洞原因是ObjectSerializationDecoder 使用 Java 原生的反序列化机制处理传入的字节流时,没有进行充分的安全性检查和类名过滤。使得攻击者可以通过构造恶意序列化数据,利用 Java 反序列化机制的缺陷执行任意代码。 该漏洞仅在应用程序使用 IoBuffer\#getObject\(\) 方法,并通过ProtocolCodecFilter和ObjectSerializationCodecFactory进行数据处理时才会受到影响。
1. 将组件 org.apache.directory.mina:mina-core 升级至 2.0.27 及以上版本 2. 将组件 org.apache.directory.mina:mina-core 升级至 2.2.4 及以上版本 3. 将组件 org.apache.directory.mina:mina-core 升级至 2.1.10 及以上版本
https://www.oscs1024.com/hd/MPS-dv4y-8zur
https://www.mail-archive.com/announce@apache.org/msg09713.html
https://github.com/apache/mina/commit/834396355766e0c8f6bbf0493d4588b3fa9d347d
https://lists.apache.org/thread/4wxktgjpggdbto15d515wdctohb0qmv8