チェックしておきたい脆弱性情報＜2015.11.30＞

　11月8日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

Apache Commons Collectionsライブラリーの脆弱性（2015/11/10）

　2015年1月、シリアライズ機能の使い方が適切でない場合、デシリアル化を実行する際に任意のコマンド実行が可能であることが報告されました。デシリアル化は、データ送受信のためにシリアル化されたオブジェクトを、ソフトウエアが扱えるデータ形式に戻す処理です。11月6日には、Apache Commons Collectionsライブラリーに、デシリアル化処理を実行する際に任意のコマンド実行を許してしまう脆弱性が存在することが明らかになりました。

• Apache Commons statement to widespread Java object de-serialisation vulnerability

　製品開発ベンダーから発信されたセキュリティ情報を日ごとに追いかけてみましょう。

7月16日

• Groovy：Groovy 2.4.x vulnerabilities（CVE-2015-3253: Remote execution of untrusted code）

11月10日

• オラクル：Oracle Security Alert for CVE-2015-4852

11月11日

• Jenkins：Remote code execution vulnerability due to unsafe deserialization in Jenkins remoting（SECURITY-218 / CVE-2015-8103）

11月13日

• IBM：Security Bulletin: Vulnerability in Apache Commons affects IBM WebSphere Application Server（CVE-2015-7450）