Apache OpenJPA对象反序列化任意文件创建或覆盖漏洞

漏洞起因
设计错误
危险等级

影响系统
Apache OpenJPA 1.0.0 – 1.0.4
Apache OpenJPA 1.1.0
Apache OpenJPA 1.3.0
Apache OpenJPA 1.2.0 – 1.2.2
Apache OpenJPA 2.0.0 – 2.0.1
Apache OpenJPA 2.1.0 – 2.1.1
Apache OpenJPA 2.2.0 – 2.2.1

不受影响系统

危害
远程攻击者可以利用漏洞向系统写入任意程序并执行。
CVSSv2:

攻击所需条件
攻击者必须创建定制的OpenJPA序列化对象来进行利用。

漏洞信息
OpenJPA是Apache组织提供的开源项目,它实现了EJB 3.0中的JPA标准,为开发者提供功能强大、使用简单的持久化数据管理框架。
Apache OpenJPA对恶意特制的OpenJPA对象进行反序列化时,可把可执行文件写入到文件系统中,攻击者需要找到一个未保护服务程序来利用此漏洞,然后需要利用其他未保护服务器程序来执行文件并或对系统的访问。

测试方法
安全建议

厂商解决方案
用户可参考如下厂商提供的安全补丁以修复此漏洞:
OpenJPA 1.0.x revision 1462558:
http://svn.apache.org/viewvc?view=revision&revision=1462558
OpenJPA 1.1.x revision 1462512:
http://svn.apache.org/viewvc?view=revision&revision=1462512
OpenJPA 1.2.x revision 1462488:
http://svn.apache.org/viewvc?view=revision&revision=1462488
OpenJPA 1.3.x revision 1462328:
http://svn.apache.org/viewvc?view=revision&revision=1462328
OpenJPA 2.0.x revision 1462318:
http://svn.apache.org/viewvc?view=revision&revision=1462318
OpenJPA 2.1.x revision 1462268:
http://svn.apache.org/viewvc?view=revision&revision=1462268
OpenJPA 2.2.1.x revision 1462225:
http://svn.apache.org/viewvc?view=revision&revision=1462225
OpenJPA 2.2.x revision 1462076:
http://svn.apache.org/viewvc?view=revision&revision=1462076

漏洞提供者
vendor