【漏洞预警】Apache MINA反序列化远程代码执行漏洞（CVE-2024-52046）

cexlife 飓风网络安全 2024-12-25 13:23

漏洞描述:

Apache MINA（Multipurpose Infrastructure for Network Applications）是一个高性能的网络通信框架,旨在帮助开发人员快速构建和管理网络应用程序,Apache MINA中存在一个反序列化远程代码执行漏洞（CVE-2024-52046）,多个受影响版本中存在反序列化远程代码执行漏洞,由于Apache MINA的ObjectSerializationDecoder组件使用了Java原生反序列化协议来处理传入的序列化数据,但缺乏必要的安全检查和防御机制,攻击者可通过向受影响的应用程序发送特制的恶意序列化数据,利用不安全的反序列化过程触发该漏洞,从而可能导致远程代码执行。影响范围:Apache MINA 2.0.X < 2.0.27Apache MINA 2.1.X < 2.1.10Apache MINA 2.2.X < 2.2.4修复建议:升级版本1.目前该漏洞已经修复,受影响用户可升级到以下版本:Apache MINA 2.0.X >= 2.0.27Apache MINA 2.1.X >= 2.1.10Apache MINA 2.2.X >= 2.2.4下载链接:https://mina.apache.org/downloads-mina_2_0.html2.配置ObjectSerializationDecoder在升级后,还需要配置ObjectSerializationDecoder实例,以限制哪些类可以被反序列化。默认情况下,ObjectSerializationDecoder 会拒绝所有传入的类,需要使用以下方法之一来明确允许特定的类:accept(ClassNameMatcher classNameMatcher):使用提供的ClassNameMatcher来匹配允许反序列化的类名。accept(Pattern pattern):使用标准Java正则表达式来匹配允许反序列化的类名。accept(String… patterns):使用Apache Commons IO库中的通配符模式来匹配允许反序列化的类名。3.检查使用 IoBuffer#getObject() 的地方该漏洞仅在应用程序使用 IoBuffer#getObject() 方法,并通过ProtocolCodecFilter和ObjectSerializationCodecFactory进行数据处理时才会受到影响,应确保应用程序:• 升级到修复版本。• 配置并限制可以通过反序列化处理的类。• 如果不需要 getObject() 方法，避免使用它，以减少安全风险。4.测试和验证修复后,测试应用程序以确保它按预期工作并且没有引入新的问题,尤其是在序列化和反序列化处理方面,并验证ObjectSerializationDecoder的配置是否正确,确保只有预期的类被允许反序列化。临时措施:暂无参考链接:https://seclists.org/oss-sec/2024/q4/177