piyolog

Apache Commonsのcollectionsの脆弱性に関連するリンク集をまとめてみた。

脆弱性まとめ | 02:05 |

2015年11月9日頃から騒がれているApache CommonsのCollectionsに存在する脆弱性に関連したリンク集です。

脆弱性情報

CVE	未採番(2015年11月10日時点)
影響	RCE
悪用	一部ソフトウェアを対象とした実証コード公開
対策	回避策あり
報告者	Chris Frohoff氏 gabriel lawrence氏

2015年1月に発表・検証コードが公開されていた

• AppSecCali 2015: Marshalling Pickles

In fact, even though proof of concept code was released OVER 9 MONTHS AGO, none of the products mentioned in the title of this post have been patched, along with many more.

http://foxglovesecurity.com/2015/11/06/what-do-weblogic-websphere-jboss-jenkins-opennms-and-your-application-have-in-common-this-vulnerability/

#ysoserial tool published: https://t.co/Ikp9PaOG25 #appseccali #MarshallingPickles cc:@gebl

— Chris Frohoff (@frohoff) 2015, 1月 28

Apacheの発表

Apache Commons statement to widespread Java object de-serialisation vulnerability https://t.co/gFRLOIMXe1 @ApacheCommons #security #Java

— Apache - The ASF (@TheASF) 2015, 11月 10

影響対象

次のApache CommonsのCollectionsライブラリが影響を受ける。

• Commons Collections 3.0系
• Commons Collections 4.0系

リモートからExploitするための前提条件

Common Collectionsのライブラリを読み込んでいるソフトウェアにおいて、外部から直列化オブジェクトの受ける手段が存在している場合に脆弱性による攻撃が成功する可能性がある。この状態は該当しそうなケースはR42日記の「影響を受けるシステム」やFoxglove Securityの「WHAT COULD POSSIBRY GO WRONG?」に記載あり。

脆弱性の解説記事

• What Do WebLogic, WebSphere, JBoss, Jenkins, OpenNMS, and Your Application Have in Common? This Vulnerability.
• commons-collectionsのInvokerTransformer脆弱性について - R42日記

脆弱性の影響を受けているソフトウェア

報告者によりCollectionsの脆弱性の影響を受けるソフトウェアは次の通り。

対象製品	公式発表	対策
WebLogic	N/A	N/A
WebSphere	N/A	N/A
JBoss	N/A	N/A
Jenkins	Mitigating unauthenticated remote code execution 0-day in Jenkins CLI SECURITY-218として管理	緩和策としてスクリプトを公開 パッチは11/11公開予定。
OpenNMS	OpenNMS RMI Exploit	Port 1099の遮断

• N/Aはpiyokango未把握(未調査)の箇所

検証コード・検査ツール

• ysoserial
• JavaUnserializeExploits
• SUPERSERIAL – JAVA DESERIALIZATION BURP EXTENSION

なお、解説記事に書かれている検証コードは次のように削除コマンドが含まれているため注意。

final Object[] remove_everything = { "rm -rf /" };

http://takahashikzn.root42.jp/entry/2015/11/10/155319

対策

確認方法

• 影響を受けるCollectionsのJarがCLASSPATHに含まれていないか確認する。ダウンロードしてファイル名を変更していなければ、commons-collections*.jarという名前が使用されている。
• 読み込んいるJarに問題のクラス「InvokerTransformer」が含まれていないかをgrepで検索する。(R42日記に検索方法は記述あり)

対応チケット・パッチ

この問題に対応するチケットはCOLLECTIONS-580として管理されている。

• https://issues.apache.org/jira/browse/COLLECTIONS-580
• https://issues.apache.org/jira/secure/attachment/12771520/COLLECTIONS-580.patch

報道記事

マスメディア

• 2015年11月10日時点で報じている国内のメディアは確認できていない。

IT関係メディア

• Javaライブラリに脆弱性、主要ミドルウェア全てに影響 (ITmedia)
• Javaライブラリにリモートコード実行の脆弱性--JBoss、WebSphere、WebLogicなどに影響 (ZDnet)

更新履歴

• 2015年11月11日 AM 新規作成

ツイートする