Javaでリモートコード実行ホールのヒットを解除するCommons Collections、JBoss、WebSphere、WebLogic

Foxglove Securityの研究者は、Javaがオブジェクトのシリアル化を解除し、JBoss、WebSphere、およびWebLogicのインストールを悪用するための安全でない方法のおかげで、広く使われているApache Commonsライブラリのリモートコード実行ホールを発見したと伝えられています。

FoxgloveのSteve Breenによる週末のブログ記事によると、この脆弱性は9ヶ月以上にわたって知られています。 Javaアプリケーションは、共有ライブラリを使用するのではなく、各アプリケーションに依存ライブラリをバンドルするため、この脆弱性が存在し、しばらくの間利用される可能性があります。

すべてのアプリケーションサーバーには、独自のライブラリバンドルが付属しています。さらに悪いことに、サーバーにデプロイするすべてのアプリケーションには、独自のセットが付いてくることもよくあります」とBreen氏は言います。「これを完全に修正するには、個々のライブラリを個別に見つけて更新する必要があります。

Breen氏は、1月に発表されたApache Commonsの以前にリリースされたリモートコード実行の脆弱性を解消することに悪用されたと述べた。

Breen氏は、オブジェクトのシリアル化解除時にJavaがどのようにユーザ定義コードを実行するかに依存して、WebLogic、WebSphere、JBoss、Jenkins、OpenNMSを実行するマシンやJava Remote Method Invocationを使用するマシン上でシェルへのアクセスを可能にするカスタムペイロードを作成できると述べた。

当時彼はブログ記事を書いていたが、ブリーン氏は言及されたすべての製品は脆弱だと言った。しかしその時から、ApacheとJenkinsはコードを修正しました。

Jenkins氏は、ジェンキンスのCLIシステムを攻撃するのを無効にする回避策を発表した。パッチは水曜日にリリースされる予定である。

「残念ながら、その脆弱性は公開前に私たちには公開されていないため、より完全な修正に取り組んでいる」とジェンキンスのチームは語った。

ransomware攻撃のコスト:今年は10億ドル、ChromeはHTTP接続を安全ではないとラベル付け開始、Hyperledgerプロジェクトはギャングバスターのように成長している;今、あなたはその道で何かを破壊するUSB​​スティックを買うことができる

これらの感情はOpenNMSのJeff Gehlbachによって反響を受けた.TNNによると、Breenは影響を受けるプロジェクトに公開前の0日間の脆弱性を通知するべきだと述べた。これに対応して、Breen氏は、この脆弱性は0日とは考えていないと述べた。

Apache Commonsは3.2.Xブランチに、デフォルトで脆弱なInvokerTransformerクラスの直列化を無効にするフラグを導入したパッチを追加しました。

革新、?M2M市場がブラジルに戻ってくる、セキュリティー、FBIがCrackasのメンバーを逮捕米政府関係者のハッキングに対する態度、セキュリティ、Wordpressは重要なセキュリティホールを修正するために今更新するようユーザーに促す、セキュリティー、ホワイトハウスは連邦最高責任者情報セキュリティ責任者

「新しいバージョンのライブラリを使用すると、InvokerTransformerのデシリアライズを試みると例外が発生することになります」とApache Commonsの開発者、Thomas Neidhart氏は言います。

M2M市場はブラジルに戻ってくる

FBIは、米国の政府関係者をハッキングしたとの態度で、Crackasのメンバーを逮捕した

WordPressは、重要なセキュリティホールを修正するために今アップデートするようユーザに促す

ホワイトハウス、連邦最高情報セキュリティ責任者を任命