Question

Groovy 2.4.4 已修补

重要缺陷： CVE-2015-3253: 非信任代码的远端执行

描述：

当 Groovy 在应用程序的类路径中时，应用可以采用 Java 的序列化机制来与服务器进行通信，或者存储本地数据。攻击者就可能会采用一个特殊的序列化对象，直接在反序列化时执行某种代码。所有依赖序列化，并且无法隔离反序列化对象代码的应用都会受此缺陷影响。

缓解措施

Apache Groovy 2.4.4 是 Apache Software Foundation 最先发布也是只支持的官方版本。强力建议所有使用序列化机制的用户都升级到该版本。如果无法升级或者依赖老版本，可以在 MethodClosure 类（ src/main/org/codehaus/groovy/runtime/MethodClosure.java ）上使用下列补丁：

 public class MethodClosure extends Closure {
+  private Object readResolve() {
+    throw new UnsupportedOperationException();
+  }

另外，你还应该确认是否使用了自定义的安全策略文件（使用标准的 Java 安全管理器），或者确认你没有依赖序列化机制来进行远程通信。

鸣谢

该缺陷是由惠普的 零日计划（Zero Day Initiative）研究员 cpnrodzc7 所发现的。