2016年11月25日（当地时间），bugzilla.redhat.com对编号为CVE-2016-8648的漏洞信息进行了更新。该漏洞存在于红帽Red Hat JBoss Fuse和Red Hat JBoss A-MQ所使用的Karaf包中，漏洞发生于通过JMX操作向MBeans传递的对象被反序列化的过程中。一个远程攻击者可在运行JAVA虚拟机且在MBean的类路径中包含反序列化组件的机器上利用该漏洞，从而造成远程代码执行。

    相关链接地址如下：

https://bugzilla.redhat.com/show_bug.cgi?id=1395077

漏洞危害

成功利用该漏洞，可以导致在目标机器上执行任意代码。

受影响的版本

• Red Hat JBoss Fuse 6
• Red Hat Jboss A-MQ 6.3.0

不受影响的版本

无

名词解释

JBoss Fuse是什么

红帽JBoss Fuse是一款体积轻巧的灵活整合平台，能够帮助企业在内部或云端实现快速资源整合。JBoss Fuse具有模块化整合功能，即新型企业服务总线 (ESB)，旨在用于信息解锁。(引用自redhat.com)

JBoss A-MQ是什么

红帽JBoss A-MQ是一个灵活、高性能的消息传递平台，能够迅速、可靠地传输信息、并与物联网 (IoT) 实时整合和联接。它可以通过实时消息传递释放企业资源——整合应用、终端和设备；以安全、可扩展的方式连接到物联网；部署可靠的消息传递解决方案，为应用平台、企业服务总线 (ESB) 平台，以及面向服务的架构 (SOA) 平台提供支持。

Karaf是什么

Karaf是Apache旗下的一个开源项目，它提供了一个轻量级的OSGi容器,可以用于部署各种组件和应用程序。

规避方案

官方目前暂未发布针对该漏洞的版本更新，由于利用该漏洞需要“admin”的用户身份，所以作为临时的缓解策略，使用Red Hat JBoss Fuse或Red Hat JBoss AM-Q的用户可以在“etc/users.properties”文件中为“admin”用户设置一个强口令。

绿盟科技声明

本安全公告仅用来描述可能存在的安全问题，绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经绿盟科技允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。

原文发布时间：2017年3月24日 

本文由：绿盟科技 发布，版权归属于原作者

原文链接：http://toutiao.secjia.com/red-hat-jboss-karaf-cve-2016-8648

本文来自云栖社区合作伙伴安全加，了解相关信息可以关注安全加网站