.jpg)
近日,工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)反馈Apusic应用服务器V10.0存在JNDI反序列化漏洞等安全问题,下文对该问题进行分析以及对解决方案进行说明。
一、问题分析
IIOP协议是远程方法调用协议,使用Apusic V10.0应用服务器部分功能时使用了该协议,导致攻击者可以通过构造恶意的反序列化数据进行攻击,从而可以在服务器上无需授权,即可执行任意代码,从而进一步控制服务器。
影响范围:Apusic 应用服务器软件 V10.0 企业版 SP1-SP8。
严重级别:高
二、处理方案
1.处理方案(需要使用IIOP协议)
如果业务需要使用IIOP协议进行通讯,可以通过控制IIOP协议只允许本机访问或者使用安全IIOP协议访问来规避该问题。操作步骤:
方式一:通过管理控制台操作的步骤:
1)根据用户手册登录管理控制台
2)在”配置管理”菜单下找到”ORB配置--IIOP监听程序”菜单并点击,进入IIOP 监听程序界面:
3)点击名称为orb-listener-1的监听程序,进入编辑界面,修改”网络地址”属性值为127.0.0.1
4)名称为orb-listener-1的监听程序为默认没有开启安全性检查,可以勾选”安全性”配置进行开启:
也可以开启SSL访问的方式加强安全(根据需要确定是否开启,非必须),开启后和名称为SSL的监听程序安全性设置类似:
5)在编辑界面中点击”保存”按钮进行配置保存,并重启AAS服务器。
方式二: 直接修改配置文件的操作步骤:
1)停止应用服务器后,修改Apusic应用服务器配置文件
在安装目录下的ApusicAS/aas/domains/mydomain/config/domain.xml文件,查找字符iiop-listener,将所有的iiop-listener的address="0.0.0.0" 改为 "127.0.0.1"。例如:
<iiop-listener address="0.0.0.0" port="${IIOP_LISTENER_PORT}" id="orb-listener-1"></iiop-listener>
<iiop-listener address="0.0.0.0" port="${IIOP_SSL_LISTENER_PORT}" id="SSL" security-enabled="true">
<ssl classname="com.sun.enterprise.security.ssl.ApusicSSLImpl" cert-nickname="kaas"></ssl>
</iiop-listener>
<iiop-listener address="0.0.0.0" port="${IIOP_SSL_MUTUALAUTH_PORT}" id="SSL_MUTUALAUTH" security-enabled="true">
<ssl classname="com.sun.enterprise.security.ssl.ApusicSSLImpl" cert-nickname="kaas" client-auth-enabled="true"></ssl>
</iiop-listener>
修改为:
<iiop-listener address="127.0.0.1" port="${IIOP_LISTENER_PORT}" id="orb-listener-1"></iiop-listener>
<iiop-listener address="127.0.0.1" port="${IIOP_SSL_LISTENER_PORT}" id="SSL" security-enabled="true">
<ssl classname="com.sun.enterprise.security.ssl.ApusicSSLImpl" cert-nickname="kaas"></ssl>
</iiop-listener>
<iiop-listener address="127.0.0.1" port="${IIOP_SSL_MUTUALAUTH_PORT}" id="SSL_MUTUALAUTH" security-enabled="true">
<ssl classname="com.sun.enterprise.security.ssl.ApusicSSLImpl" cert-nickname="kaas" client-auth-enabled="true"></ssl>
</iiop-listener>
2) 重启应用服务器,并检查6837,6838,6839等端口(如果修改为其他端口,需要查询修改后的端口)的监听地址是否为127.0.0.1,如果是则
操作成功。
在操作系统终端执行命令:netstat -anol|grep 6837,如果显示127.0.0.1:6837,则修改成功。
2. 处理方案(不需要使用IIOP协议)
不需要使用IIOP协议,则可以停用IIOP协议,操作步骤如下:
方式一:通过管理控制台操作的步骤:
1) 根据用户手册登录管理控制台
2)在”配置管理”菜单下找到”ORB配置--IIOP监听程序”菜单并点击,进入IIOP 监听程序界面
3)点击名称为orb-listener-1的监听程序,进入编辑界面,修改”监听程序”属性,去掉勾选状态:
4)在编辑界面中点击”保存”按钮进行配置保存,并重启AAS服务器。
方式二: 直接修改配置文件的操作步骤:
1)停止应用服务器后,修改Apusic应用服务器配置文件
编辑安装目录下ApusicAS/aas/domains/mydomain/config/domain.xml文件,查找字符iiop-listener,将所有的iiop-listener项删除。例如,删除的内容:
<iiop-listener address="0.0.0.0" port="${IIOP_LISTENER_PORT}" id="orb-listener-1"></iiop-listener>
<iiop-listener address="0.0.0.0" port="${IIOP_SSL_LISTENER_PORT}" id="SSL" security-enabled="true">
<ssl classname="com.sun.enterprise.security.ssl.ApusicSSLImpl" cert-nickname="kaas"></ssl>
</iiop-listener>
<iiop-listener address="0.0.0.0" port="${IIOP_SSL_MUTUALAUTH_PORT}" id="SSL_MUTUALAUTH" security-enabled="true">
<ssl classname="com.sun.enterprise.security.ssl.ApusicSSLImpl" cert-nickname="kaas" client-auth-enabled="true"></ssl>
</iiop-listener>
2)重启应用服务器,并检查java进程是否监听6837,6838,6839等端口(如果修改为其他端口,需要查询修改后的端口),验证是否操作成功。
在操作系统终端执行命令:netstat -anol|grep 6837,如果没有条目则停用成功。
三、新版本更新
在新版本V10.0 SP9中,默认设置IIOP协议只能本地访问,新版本可以从这里下载:http://file.apusic.com/sharing/kF38DoTsG
