【漏洞通告】Apache OFBiz RMI反序列化任意代码执行

1. 通告信息

近日，安识科技A-Team团队监测发现Apache OFBiz官方发布安全更新公告，修复了一处由RMI反序列化造成的远程代码执行漏洞。攻击者可构造恶意请求，触发反序列化，从而造成任意代码执行，控制服务器。

对此，安识科技建议广大用户及时升级到安全版本,并做好资产自查以及预防工作，以免遭受黑客攻击。

 

2. 漏洞概述

Apache OFBiz存在一处RMI反序列化漏洞，可远程执行任意代码。

 

3. 漏洞危害

攻击者可以利用此漏洞执行任意代码，接管服务器，存在极大的危害。

 

4. 影响版本

Apache OFBiz < 17.12.06

 

5. 解决方案

升级 Apache OFBiz 至安全版本（17.12.06）。

https://www.apache.org/dyn/closer.lua/ofbiz/apache-ofbiz-17.12.06.zip

6. 时间轴

【-】2021年3月22日  Apache OFBiz官方发布安全更新公告

【-】2021年3月22日 安识科技A-Team团队根据官方公告分析

【-】2021年3月22日 安识科技A-Team团队发布安全通告