VRDA Feed by JPCERT/CC
  Vulnerability Response Decision Assistance Feed : 脆弱性脅威分析用情報の定型データ配信
[ about VRDA Feed | JPCERT/CC



 
分析対象脆弱性情報 (リビジョン番号 : 1) [ Download XML
JVNDB-2015-005930
Apache Commons Collections ライブラリのデシリアライズ処理に脆弱性
http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-005930.html

原文

Apache Commons Collections (ACC) ライブラリのデシリアライズ処理には脆弱性があります。Java アプリケーションが ACC ライブラリを直接使用している場合やクラスパス指定でアクセスできる範囲に ACC ライブラリが設置されている場合、任意のコードを実行させられる可能性があります。 Apache Commons Collections (ACC) ライブラリ http://commons.apache.org/proper/commons-collections/ 信頼できないデータのデシリアライズ (CWE-502) 2015年1月に開催された AppSec California 2015 において、Gabriel Lawrence 氏と Chris Frohoff 氏は、信頼できないデータをデシリアライズしてしまう脆弱性について講演し、任意のコードを実行可能であることを示しました。シリアライズ機能の使い方が適切でないすべての Java アプリケーションや Java ライブラリが本脆弱性の影響を受けます。 信頼できないデータのデシリアライズ (CWE-502) http://cwe.mitre.org/data/definitions/502.html Gabriel Lawrence 氏と Chris Frohoff 氏の講演 http://frohoff.github.io/appseccali-marshalling-pickles/ 2015年11月に Foxglove Security の Stephen Breen 氏は、この問題が Apache Commons Collections (ACC) ライブラリに存在すること、特に、信頼できないデータのデシリアライズに InvokerTransformer クラスを使用している場合に任意のコードを実行させられる可能性があることを指摘しました。ACC ライブラリを使用するソフトウェアである、WebSphere、Jenkins、WebLogic、OpenNMS なども影響を受けます。 Foxglove Security の Stephen Breen 氏 (What Do WebLogic, WebSphere, JBoss, Jenkins, OpenNMS, and Your Application Have in Common? This Vulnerability.) http://foxglovesecurity.com/2015/11/06/what-do-weblogic-websphere-jboss-jenkins-opennms-and-your-application-have-in-common-this-vulnerability/ Jenkins https://wiki.jenkins-ci.org/display/SECURITY/Jenkins+Security+Advisory+2015-11-11 WebLogic http://www.oracle.com/technetwork/topics/security/alert-cve-2015-4852-2763333.html?elq_mid=31793&sh=&cmid=WWSU12091612MPP001C179 ACC ライブラリ バージョン 3.2.1、4.0 の両方が本脆弱性の影響を受けます。 バージョン 3.2.1、4.0 https://blogs.apache.org/foundation/entry/apache_commons_statement_to_widespread">https://blogs.apache.org/foundation/entry/apache_commons_statement_to_widespread Apache Software Fondation は本脆弱性に関する公式見解をブログに掲載しました。ここには、対策に関するアドバイスや関連情報へのリンクなども掲載されています。また、本脆弱性に関するエントリ (COLLECTIONS-580) がバグ管理システム上に作られています。 公式見解 https://blogs.apache.org/foundation/entry/apache_commons_statement_to_widespread">https://blogs.apache.org/foundation/entry/apache_commons_statement_to_widespread 本脆弱性に関するエントリ (COLLECTIONS-580) https://issues.apache.org/jira/browse/COLLECTIONS-580 ACC 以外に、Groovy や Spring などについても同様の問題の調査が行われています。Lawrence 氏と Frohoff 氏の発表資料には、Java だけでなく Python や Ruby などで書かれたアプリケーションやライブラリにおいても同様の問題が存在すると記載されています。使用するプログラミング言語やライブラリにかかわらず、ソフトウェアを設計する段階から、データのシリアライズ機能について十分に考慮することが重要です。




この情報について
分析情報提供元:
JVN iPedia
初版公開日:
2015-11-17
分析対象脆弱性情報の分類:
アドバイザリ・注意喚起
最終更新日:
2015-11-17




脆弱性の影響を受ける製品の識別子
cpe:/a:misc:multiple_vendors
 


脆弱性の分析内容
[攻撃元区分]  [?]
未評価 [?]

ローカル [?]
隣接 [?]
X ネットワーク [?]
[攻撃条件の複雑さ]  [?]
未評価 [?]

 [?]
 [?]
X [?]
[攻撃前の認証要否]  [?]
未評価 [?]

複数 [?]
単一 [?]
X 不要 [?]
[機密性への影響]  [?]
未評価 [?]

影響なし [?]
X 部分的 [?]
全面的 [?]
[完全性への影響]  [?]
未評価 [?]

影響なし [?]
X 部分的 [?]
全面的 [?]
[可用性への影響]  [?]
未評価 [?]

影響なし [?]
X 部分的 [?]
全面的 [?]
関連情報




参考情報
ASF JIRA COLLECTIONS-580: Arbitrary remote code execution with InvokerTransformer




Apache Apache Commons statement to widespread Java object de-serialisation vulnerability




JVN JVNVU#94276522




Jenkins Security Advisory Jenkins Security Advisory 2015-11-11




Oracle Secure Coding Guidelines for Java SE




Oracle Security Alert Oracle Security Alert for CVE-2015-4852




US-CERT Vulnerability Note VU#576313




関連文書 AppSecCali 2015: Marshalling Pickles - how deserializing objects will ruin your day




関連文書 What Do WebLogic, WebSphere, JBoss, Jenkins, OpenNMS, and Your Application Have in Common? This Vulnerability.




Copyright © 2015 JPCERT/CC All Rights Reserved.