【漏洞公告】
2019年12月1日,Apache Olingo发布了4.7.0版本,修复了之前版本一个存在不安全的反序列化漏洞,对应CVE编号:CVE-2019-17556
相关链接:
https://issues.apache.org/jira/browse/OLINGO-1410
根据公告,漏洞存在于4.7.0以前版本中,存在漏洞的系统面临被恶意攻击者直接执行危险命令的攻击可能,直接影响到系统的安全性,目前网上已经有公开的漏洞细节披露,包括漏洞分析,建议及时升级安全更新补丁和参考缓解措施进行安全加固配置。
【影响范围】
4.7.0以前版本(Olingo 4.0.0 到 4.6.0版本);
建议更新版本:4.7.0以上,官方下载地址:
https://olingo.apache.org/doc/odata4/download.html
https://github.com/apache/olingo-odata4/releases
【漏洞描述】
CVE-2019-17556漏洞:Apache Olingo的AbstractService类是公共API的一部分,攻击者通过XMLMetadata方法构造特定GZIP压缩的序列化对象,并且经过base64加密之后发送给相关接口,即可触发漏洞,造成执行危险命令的可能性。建议及时升级安全更新补丁和参考缓解措施进行安全加固配置。
【缓解措施】
高危:目前漏洞细节已经公开,建议及时关注官方安全公告和补丁更新以及启用WAF类安全设备拦截攻击包。
缓解措施说明:官方修复方法是增加白名单,只允许org.apache.olingo.*类进行反序列化,用户可通过升级至4.7.0来解决这个问题。
友情提示:Apache Olingo历史上已经报过多个安全漏洞,建议使用该组件的企业经常关注官方安全更新公告。
