各辖市、区人民政府，市各委办局，市各公司、直属单位：

2017�?1�?5日，Redhat公司发布了一个JbossAS 5.x系统的远程代码执行漏洞通告，相应的漏洞编号为CVE-2017-12149�?017�?1�?7日，有安全研究者发现JbossAS 6.x也受该漏洞影响�

攻击者可利用此漏洞无需用户验证在系统上执行任意命令。漏洞相关的技术细节和验证程序已经公开，此漏洞极有可能被利用来执行大规模的攻击，构成现实的威胁，已发现用户主机被攻击入侵并安装了挖矿程序（Miner），该漏洞危害级别较高，影响严重�

一、影响范围：

Jboss AS 5.x

Jboss AS 6.x

二、应对方法：

1、不需� http-invoker.sar 组件的用户可直接删除此组件�

2、添加如下代码至 http-invoker.sar � web.xml � security-constraint 标签中，� http invoker 组件进行访问控制�

/*

3、将JBoss部署在内网，不对外网开放应用�