WebSphere Comments Collections组件反序列化漏洞（CVE-2015-7450）

刚刚完成了一个项目，在上线之前请求安全部门进行漏洞扫描，其中有一个漏洞名称是“WebSphere Comments Collections组件反序列化漏洞（CVE-2015-7450）”，按照扫描结果的提示解决方案，成功解决了，先分享一下。

详细描述

Apache Commons Collections可以扩展或增加Java集合框架，是Commons Proper的一个组件，该组件是一个可重复利用Java组件库。 Apache Commons Collections (ACC) 3.2.1及4.0版本未能正确验证用户输入，其InvokerTransformer类在反序列化来自可疑域的数据时存在安全漏洞，这可使攻击者在用户输入中附加恶意代码并组合运用不同类的readObject()方法，在最终类型检查之前执行Java函数或字节码（包括调用Runtime.exec()执行本地OS命令）。 <*来源：Gabriel Lawrence Chris Frohoff Stephen Breen 链接：https://threatpost.com/critical-java-bug-extends-to-oracle-ibm-middleware/115319/ http://www.kb.cert.org/vuls/id/576313 *>

解决办法

临时解决方法： 如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁： * 使用防火墙规则及文件系统访问限制 * 使用 SerialKiller 替换进行序列化操作的 ObjectInputStream 类 * 临时删除掉项目里的“org/apache/commons/collections/functors/InvokerTransformer.class” 文件 厂商补丁： Apache Group ------------ 目前厂商已经发布了升级补丁ACC 3.2.2 以修复这个安全问题，请到厂商的主页下载： https://commons.apache.org/proper/commons-collections/download_collections.cgi http://svn.apache.org/viewvc?view=revision&revision=1713307 https://commons.apache.org/proper/commons-collections/  https://blogs.apache.org/foundation/entry/apache_commons_statement_to_widespread

漏洞原理及代码分析请看（感谢博主“随风”提供）：https://www.iswin.org/2015/11/13/Apache-CommonsCollections-Deserialized-Vulnerability/

按照上面的建议，到该网站下载修复后的jar包（commons-collections4-4.1-bin.zip）：https://commons.apache.org/proper/commons-collections/download_collections.cgi