commons-collections 다운로드

Posted by: admin | Posted on: July 5th, 2018 | 0 Comments

코몬즈-컬렉션 새로운 인터페이스, 구현 및 유틸리티를 제공 함으로써 JDK는 클래스에 따라 구축을 추구 하 고 있습니다. 다음과 같은 많은 기능이 있습니다. 제이 보스의 인스턴스가 취약 한지 확인 하기 위해서는, 우리는 취약 한 코몬즈-컬렉션 라이브러리가 포함 되어 있는지 여부와 우리가 직렬화 된 페이로드를 전달할 수 있는지 여부를 결정 하는 데 필요한 취약 클래스 중 하나 위에서 언급 한. 이 패치는 알려진 벡터 중 하나를 수정 하지만 다른 템플릿도 있을 수 있습니다. 초기 분석에서, 그것은 몇 가지 보안을가지고 있기 때문에, 그것이 사용 되기 전에, JDK의 속성을 설정할 것으로 예상 하지 않는 것 같습니다. 우리가 그것에 대해 더 많이 찾으면이 포스트가 업데이트 될 것 이다. 취약 하더라도 Java 런타임 환경 자체에서 제공 하는 클래스 이기 때문에 수행할 수 있는 작업이 많지 않을 수도 있습니다. 이와 같은 문제에 대 한 장기적인 수정은 Java 직렬화에서 멀리 이동 하는 것입니다. 공용 우편 목록은 주요 지원 포럼 역할을 합니다. 사용자 목록은 대부분의 라이브러리 사용 쿼리에 적합 합니다. dev 목록은 발전 논의를 위한 것 이다.

목록은 모든 코몬즈 구성 요소 사이에 공유 되므로, 귀하의 이메일을 접두사로 [컬렉션]을 기억 하시기 바랍니다. jboss 인스턴스가 취약 한 라이브러리를 포함 하는지 확인 하려면 jboss 설치 디렉토리에 있는 취약 클래스 중 하나에 대 한 grep만 있으면 됩니다. 아래 스크린샷에서, 우리는 제 보스 6.1.0의 인스턴스가 악용 될 수 있습니다 취약 한 “commons-collections-3.2. 항아리”의 여러 인스턴스가 포함 되어 있는지 확인 합니다. 우리가 결정할 수 있는 만큼, 서버에 대 한 공격이 가능 하기 때문에 이미 등록 된가 서 에이전트의 인증 인증서를 함으로써, gocd 서버 및 g강 박 증 에이전트를 사용 하 여 통신 방식 때문에 약간의 영향이 감소 보안 연결입니다. java 역직렬화 취약점은 HTTP (S)를 통해 받은 신뢰할 수 없는 직렬화 된 Java 객체가 취약 한 커먼즈 컬렉션 클래스로 전달 되는 jboss 응용 프로그램 서버의 여러 호출자 서블릿에서 악용 될 수 있습니다. 원격 공격자는 자신의 선택 명령을 호출자 서블릿 중 하나에 제공할 수 있으며, 취약 한 클래스는이를 실행 합니다. jboss 호출자 서블릿이 신뢰할 수 없는 직렬화 된 Java 객체를 인증 이전에 취약 한 클래스에 전달 하기 때문에, 비인증 공격자는 이러한 취약점을 악용할 위의 JAR 파일은 RPM 및 DEB 설치 프로그램에 서명 하는 데 사용 된 일반적인 키를 사용 하 여 서명 됩니다. 제공 된 서명 파일을 사용 하 여 확인할 수 있습니다. 공개 키는 MIT PGP 공개 키 서버 및 gocd의 bintray 페이지에서 사용할 수 있습니다. 확인 되 면, 당신은 그것이 g강 박 팀에 의해 서명 되어 나타납니다: 귀하의 모든 요원은 이제 뿐만 아니라 새로운 에이전트 항아리를 가져올 것 이며, 자신을 다시 시작 합니다. 가지고 있는 에이전트의 수에 따라 이동 서버의 업그레이드와 같이 약간의 시간이 걸릴 수 있습니다.

git 저장소를 찾아볼 수 있으며, GitHub에 거울을가지고 있다. jboss 애플리케이션 서버의 Java 역직렬화 취약점에 대 한 두 가지 가장 유력한 수정 옵션은 아파치 커먼즈 컬렉션 라이브러리를 업그레이드 하거나, 알려진 공격 허점을 비활성화 하거나 제한 한다.

Comments are closed.