【漏洞公告】

2019年12月1日，Apache Olingo发布了4.7.0版本，修复了之前版本一个存在不安全的反序列化漏洞，对应CVE编号：CVE-2019-17556

       相关链接：

https://issues.apache.org/jira/browse/OLINGO-1410

https://mail-archives.apache.org/mod_mbox/olingo-user/201912.mbox/%3CCAGSZ4d4vbSYaVh3aUWAvcVHK2qcFxxCZd3WAx3xbwZXskPX8nw%40mail.gmail.com%3E

       根据公告，漏洞存在于4.7.0以前版本中，存在漏洞的系统面临被恶意攻击者直接执行危险命令的攻击可能，直接影响到系统的安全性，目前网上已经有公开的漏洞细节披露，包括漏洞分析，建议及时升级安全更新补丁和参考缓解措施进行安全加固配置。

【影响范围】

       4.7.0以前版本（Olingo 4.0.0 到 4.6.0版本）；

       建议更新版本：4.7.0以上，官方下载地址：

https://olingo.apache.org/doc/odata4/download.html

https://github.com/apache/olingo-odata4/releases

【漏洞描述】

       CVE-2019-17556漏洞：Apache Olingo的AbstractService类是公共API的一部分，攻击者通过XMLMetadata方法构造特定GZIP压缩的序列化对象，并且经过base64加密之后发送给相关接口，即可触发漏洞，造成执行危险命令的可能性。建议及时升级安全更新补丁和参考缓解措施进行安全加固配置。

【缓解措施】

       高危：目前漏洞细节已经公开，建议及时关注官方安全公告和补丁更新以及启用WAF类安全设备拦截攻击包。

       缓解措施说明：官方修复方法是增加白名单，只允许org.apache.olingo.*类进行反序列化，用户可通过升级至4.7.0来解决这个问题。

    友情提示：Apache Olingo历史上已经报过多个安全漏洞，建议使用该组件的企业经常关注官方安全更新公告。