Apache MINA网络应用框架被曝存在高危漏洞CVE-2024-52046，CVSS评分高达10分，攻击者可利用此漏洞在系统上执行任意代码。该漏洞源于ObjectSerializationDecoder组件在处理序列化数据时缺乏安全检查，导致攻击者通过发送恶意序列化数据实现远程代码执行。受影响版本包括2.0.0至2.0.26、2.1.0至2.1.9以及2.2.0至2.2.3。修复方案是升级至2.0.27、2.1.10或2.2.4版本，并需明确定义允许反序列化的类，以增强安全性。此漏洞主要影响使用了IoBuffer#getObject()方法的应用。

🚨Apache MINA框架存在高危漏洞CVE-2024-52046，CVSS评分10分，允许远程代码执行。

🔓漏洞根源在于ObjectSerializationDecoder组件处理序列化数据时缺乏安全检查，攻击者可利用恶意序列化数据执行任意代码。

🛡️修复方案：升级至2.0.27、2.1.10或2.2.4版本，并使用accept方法明确定义允许反序列化的类，默认情况下解码器将拒绝所有类。

⚠️此漏洞主要影响使用了IoBuffer#getObject()方法，并且在过滤器链中使用了ObjectSerializationCodecFactory类的应用程序。

E安全消息，网络应用框架Apache MINA发现一个严重漏洞。漏洞被追踪为CVE-2024-52046，CVSS得分10，可能允许攻击者在系统上执行任意代码。

Apache MINA框架用于构建高性能和可扩展的网络应用，以其事件驱动异步API而闻名。该API简化了TCP/IP和UDP/IP等传输上的网络编程，被广泛应用于各种应用。

然而，其ObjectSerializationDecoder组件的一个缺陷为恶意行为者打开了大门。这个解码器利用Java的本地反序列化来处理序列化数据，被发现缺乏关键的安全检查。

问题的根源在于易受攻击版本的MINA处理对象反序列化的方式。没有适当的防护措施，攻击者可以发送特别制作的恶意序列化数据，当ObjectSerializationDecoder处理这些数据时，可能会导致远程代码执行（RCE）。这意味着攻击者可能完全控制受影响的系统。

CVE-2024-52046漏洞影响了一系列Apache MINA版本，具体包括：

Apache MINA 2.0.0至2.0.26Apache MINA 2.1.0至2.1.9Apache MINA 2.2.0至2.2.3

需要注意的是，并非所有使用MINA的应用程序都会自动受到影响。

当应用程序使用IoBuffer#getObject()方法时，风险就会出现，这可能在ProtocolCodecFilter实例使用ObjectSerializationCodecFactory类被添加到过滤器链时被调用。如果你的应用程序依赖这些特定类和方法，你可能已经暴露了风险，必须立即采取行动。

Apache MINA团队通过发布以下修补版本迅速解决了这一关键漏洞：

Apache MINA 2.0.27Apache MINA 2.1.10Apache MINA 2.2.4

仅仅升级是不够的。更新的版本引入了一个重要的安全增强功能：开发人员必须明确定义ObjectSerializationDecoder被允许反序列化的类。

通过三个新方法实现：

accept(ClassNameMatcher classNameMatcher)accept(Pattern pattern)accept(String… patterns)

默认情况下，解码器现在将拒绝所有类，遵循“拒绝所有”的原则，除非明确允许。这增加了一个重要的控制层，防止了不受信任和潜在恶意对象的反序列化。

Apache MINA团队已表示，FtpServer、SSHd和Vysper子项目不受此漏洞影响。

 

---

转自E安全，原文链接：https://mp.weixin.qq.com/s/OC8JgmYZ1uWYTVFhKJyJcQ

封面来源于网络，如有侵权请联系删除