JBossAS 5.x和6.x系统被曝存在远程代码执行漏洞，漏洞利用工具已经在互联网上传播

在今年的8月份，Red Hat公司就曾发布过一则安全漏洞的通告，通告主要内容是关于“JBossAS 5.x系统存在远程代码执行漏洞”，该漏洞编号为CVE-2017-12149。该漏洞问题后续并未完全解决，并且在近期有安全研究人员发现，不仅是JBossAS 5.x的系统，JBossAS 6.x也会受到该漏洞的影响。

JBoss是一款基于J2EE的开放源代码应用服务器，JBoss代码遵循LGPL许可，能在任何商业应用当中免费使用，同时JBoss也是一个管理EJB的容器和服务器。在J2EE应用服务器的领域中，由于JBoss遵循LGPL许可并且由开源社区开发，使得JBoss可称得上发展最为迅速的应用服务器。

据悉，该漏洞利用工具已经在互联网上传播，攻击者利用该漏洞后，无需通过用户验证就能在系统上执行任意命令，故风险等级已定为“高危”级别。该漏洞形成原因是由于在JBossAS 5.x和6.x系统自带应用的http-invoker.sar中存在一个ReadOnlyAccessFilter，反向编译：org.jboss.invocation.http.servlet.ReadOnlyAccessFilter.class显示，该filter在做过滤时会直接将HTTP请求post中的内容未做任何检查就将其反序列化成对象，由此导致可以执行任意代码。

自查方法

访问http://ip:port/invoker/readonly后，如果出现500状态码错误，则表示系统受到漏洞影响。

解决办法

首先需要说明，官网已经不会对存在漏洞的版本进行维护修复，所以给出以下修复建议：

1、建议使用第三方Web应用防火墙对系统进行防护;

2、在对应jboss下删除 /server/default/deploy/http-invoker.sar/路径下的invoker.war来预防漏洞影响;

3、手动添加到http-invoker.sar下web.xml;