Est-ce que les attaques de désérialisation des bibliothèques commons-collections affectent les produits Red Hat Jboss ? (CVE-2015-7501 )
Environment
- Red Hat JBoss A-MQ 6.x
- Red Hat JBoss BPM Suite (BPMS) 6.x
- Red Hat JBoss BRMS 6.x
- Red Hat JBoss BRMS 5.x
- Red Hat JBoss Data Grid (JDG) 6.x
- Red Hat JBoss Data Virtualization (JDV) 6.x
- Red Hat JBoss Data Virtualization (JDV) 5.x
- Red Hat JBoss Enterprise Application Platform 6.x
- Red Hat JBoss Enterprise Application Platform 5.x
- Red Hat JBoss Enterprise Application Platform 4.3.x
- Red Hat JBoss Fuse 6.x
- Red Hat JBoss Fuse Service Works (FSW) 6.x
- Red Hat JBoss Operations Network (JBoss ON) 3.x
- Red Hat JBoss Portal 6.x
- Red Hat JBoss SOA Platform (SOA-P) 5.x
- Red Hat JBoss Web Server (JWS) 3.x
Issue
-
Le problème a été reporté pour Java Object Serialisation affectant l'interface JMXInvokerSAervlet :
http://foxglovesecurity.com/2015/11/06/what-do-weblogic-websphere-jboss-jenkins-opennms-and-your-application-have-in-common-this-vulnerability/ -
Est-ce qu'un attaquant non authentifié, pouvant acccéder au JMXInvokerServlet, peut exécuter le code arbitraire dans le contexte d'un utilisateur qui exécute sur le serveur JBoss ?
- Notre équipe de sécurité nous a signalé une alerte concernant une vulnérabilité Zero day. Red Hat est-il conscient de cette vulnérabilité et envisage-t-il un correctif ? Le cas échéant, quand ce correctif sera-t-il disponible ?
-
Y-a-t-il une faille RCE (Remote Code Execution) dans l'exécution du code dans la bibliothèque commons-collection ?
-
Boss Middleware Suite est-il affecté par CVE-2015-7501 ou CVE-2015-4852 ?
Resolution
Tous les produits répertoriés dans la section de l'environnement sont vulnérables. Red Hat cherche à produire des correctifs pour résoudre ce problème et publiera les errata et corrections dès que possible. Dans l'état actuel, et pour toutes ces questions, veuillez vous référer à Apache commons-collections: Remote code execution during deserialisation.
Dans l'interim, la façon la plus rapide de résoudre cette vulnérabilité spécifique de désérialisation est de supprimer les fichiers de classes vulnérables (InvokerTransformer, InstantiateFactory, et InstantiateTransformer) dans tous les fichiers jar commons-collections. Tous les changements manuels doivent être testés pour éviter des complications non anticipées.
Si vous empaquetez la bibliothèque commons-collection dans votre application, vous serez sans doute encore vulnérable, même si les correctifs qui conviennent sont appliqués. Vous devrez faire les modifications à la bibliothèque commons-collections vous-même si vous l'empaquetez.
Cet incident devrait être intitulé CVE-2015-7501 puisqu'il concerne JBoss Middleware Suite . D'autres fournisseurs l'appellent CVE-2015-4852.
Root Cause
C'est une défaillance en plusieurs parties, nécessitant un certain nombre de conditions pour pouvoir être exploitée. Pour que le RCE (Remote-Code Execution) d'un attaquant fonctionne, la configuration doit aussi :
- Accepter les données sérialisées non fiables
- Permettre une désérialisation aveugle de ces données
- Les classes comportant la vulnérabilité doivent être disponibles dans le chemin de classe
Pour obtenir plus d'informations sur le JMXInvokerServlet spécifiquement, consulter article
On encourage les clients à prendre une approche de « défense en profondeur » pour sécuriser leurs systèmes. Red Hat Product Security essaie de déterminer le meilleur moyen d'aller de l'avant, en général, pour ses produits, en tenant compte de cette vulnérabilité et de plus grande classe pour les vulnérabilités de désérialisation.
Vous trouverez davantage d'informations sur la désérialisation Java dans Red Hat Security Blog. Nous aurons également plus d'entrées de blogs à ce sujet dans un futur proche.
This solution is part of Red Hat’s fast-track publication program, providing a huge library of solutions that Red Hat engineers have created while supporting our customers. To give you the knowledge you need the instant it becomes available, these articles may be presented in a raw and unedited form.
Comments