Warning message

This translation is outdated. For the most up-to-date information, please refer to the English version.

¿Las explotaciones de deserialización contra la biblioteca commons-collections afectan Red Hat JBoss products?

Solution Verified - Updated -

Environment

  • Red Hat JBoss A-MQ 6.x
  • Red Hat JBoss BPM Suite (BPMS) 6.x
  • Red Hat JBoss BRMS 6.x
  • Red Hat JBoss BRMS 5.x
  • Red Hat JBoss Data Grid (JDG) 6.x
  • Red Hat JBoss Data Virtualization (JDV) 6.x
  • Red Hat JBoss Data Virtualization (JDV) 5.x
  • Red Hat JBoss Enterprise Application Platform 6.x
  • Red Hat JBoss Enterprise Application Platform 5.x
  • Red Hat JBoss Enterprise Application Platform 4.3.x
  • Red Hat JBoss Fuse 6.x
  • Red Hat JBoss Fuse Service Works (FSW) 6.x
  • Red Hat JBoss Operations Network (JBoss ON) 3.x
  • Red Hat JBoss Portal 6.x
  • Red Hat JBoss SOA Platform (SOA-P) 5.x
  • Red Hat JBoss Web Server (JWS) 3.x

Issue

-Se reportó un problema con la serialización de objetos en Java que afecta la interfaz JMXInvokerServlet:
http://foxglovesecurity.com/2015/11/06/what-do-weblogic-websphere-jboss-jenkins-opennms-and-your-application-have-in-common-this-vulnerability/

  • ¿Podría un atacante no autenticado acceder a JMXInvokerServlety ejecutar código arbitrario en el contexto del usuario que ejecuta el servidor JBoss?
    Hemos recibido una alerta de nuestro equipo de seguridad sobre una vulnerabilidad de día cero. ¿RedHat sabe de esta vulnerabilidad y está tratando de arreglarla? si esto es así, ¿para cuándo se espera tener la solución?
    ¿ Existe una vulnerabilidad de ejecución de código remoto en la biblioteca commons-collections?

  • ¿CVE-2015-7501 o CVE-2015-4852 afectan JBoss Middleware Suite?

Resolution

Todos los productos listados en la sección de entornos son vulnerables. Red Hat está trabajando en correcciones para abordar este problema y publicará erratas y parches tan pronto como sea posible. Para el estatus actual de este problema y todos los problemas relacionados, por favor consulte Remote code execution during deserialisation](https://access.redhat.com/security/vulnerabilities/2059393).

Provisionalmente, la forma más fácil de resolver esta vulnerabilidad de deserialización es retirar los archivos de clase vulnerables (InvokerTransformer, InstantiateFactory, e InstantiateTransformer) en todos los archivos JAR commons-collections. Cualquier cambio manual debe ser evaluado para evitar complicaciones imprevistas.

Si empaqueta la biblioteca commons-collection en su aplicación, usted puede estar aún vulnerable, incluso después de aplicar los parches. Usted mismo deberá hacer cambios a la biblioteca commons-collections si empaqueta una.

Se debe hacer referencia este problema como CVE-2015-7501, ya que afecta a JBoss Middleware Suite. Otros vendedores se refieren a el como CVE-2015-4852.

Root Cause

Este es un error multipartes, con varias condiciones necesarias para permitir una explotación. Para que un atacante pueda ejecutar código remoto (RCE), la configuración debe:

  • Aceptar datos serializados no confiables
  • Permitir deserialización ciega de los datos
  • Las clases con la vulnerabilidad deben estar disponibles en classpath

Para obtener información más específica sobre JMXInvokerServlet, por favor consulte: article

Se recomienda que los clientes utilicen un enfoque de 'defensa en profundidad' para proteger sus sistemas. Red Hat Product Security está determinando el camino más adecuado para sus productos con respecto a esta vulnerabilidad y las vulnerabilidades de deserialización de clase más amplias.

Para obtener más información sobre problemas de deserialización de Java, consulte: Red Hat Security Blog. Tendremos también otros blogs sobre este tema en un futuro próximo.

This solution is part of Red Hat’s fast-track publication program, providing a huge library of solutions that Red Hat engineers have created while supporting our customers. To give you the knowledge you need the instant it becomes available, these articles may be presented in a raw and unedited form.