各辖市、区人民政府，市各委办局，市各公司、直属单位：

    2017年11月25日，Redhat公司发布了一个JbossAS 5.x系统的远程代码执行漏洞通告，相应的漏洞编号为CVE-2017-12149，2017年11月27日，有安全研究者发现JbossAS 6.x也受该漏洞影响。

    攻击者可利用此漏洞无需用户验证在系统上执行任意命令。漏洞相关的技术细节和验证程序已经公开，此漏洞极有可能被利用来执行大规模的攻击，构成现实的威胁，已发现用户主机被攻击入侵并安装了挖矿程序（Miner），该漏洞危害级别较高，影响严重。

    一、影响范围：

    Jboss AS 5.x

    Jboss AS 6.x

    二、应对方法：

    1、不需要 http-invoker.sar 组件的用户可直接删除此组件。

    2、添加如下代码至 http-invoker.sar 下 web.xml 的 security-constraint 标签中，对 http invoker 组件进行访问控制：

   /*

    3、将JBoss部署在内网，不对外网开放应用。