La vulnerabilità sulla deserializzazione relativa alla libreria commons-collections interessa anche i prodotti Red Hat JBoss? (CVE-2015-7501 )
Environment
- Red Hat JBoss A-MQ 6.x
- Red Hat JBoss BPM Suite (BPMS) 6.x
- Red Hat JBoss BRMS 6.x
- Red Hat JBoss BRMS 5.x
- Red Hat JBoss Data Grid (JDG) 6.x
- Red Hat JBoss Data Virtualization (JDV) 6.x
- Red Hat JBoss Data Virtualization (JDV) 5.x
- Red Hat JBoss Enterprise Application Platform 6.x
- Red Hat JBoss Enterprise Application Platform 5.x
- Red Hat JBoss Enterprise Application Platform 4.3.x
- Red Hat JBoss Fuse 6.x
- Red Hat JBoss Fuse Service Works (FSW) 6.x
- Red Hat JBoss Operations Network (JBoss ON) 3.x
- Red Hat JBoss Portal 6.x
- Red Hat JBoss SOA Platform (SOA-P) 5.x
- Red Hat JBoss Web Server (JWS) 3.x
Issue
-
È stato identificato un problema relativo al Java Object Serialization il quale interessa l'interfaccia
JMXInvokerServlet:
http://foxglovesecurity.com/2015/11/06/what-do-weblogic-websphere-jboss-jenkins-opennms-and-your-application-have-in-common-this-vulnerability/ -
Un aggressore non autenticato è in grado di accedere a
JMXInvokerServlet, eseguire un codice arbitrario come se fosse un utente che esegue il server JBoss? - Abbiamo ricevuto un messaggio d'allerta relativo alla vulnerabilità zero-day dal nostro team di sicurezza. Red Hat è già a conoscenza di questo tipo di vulnerabilità, ed è disponibile una soluzione? Se si, quali sono i tempi previsti per il rilascio della correzione?
-
È presente una vulnerabilità relativa al remote code execution nella libreria commons-collections?
-
CVE-2015-7501 o CVE-2015-4852 interessano JBoss Middleware Suite?
Resolution
Tutti i prodotti riportati nella sezione relativa agli ambienti sono vulnerabili. Red Hat è attualmente inpegnato a trovare una soluzione idonea a questo problema, e si impegna a rendere disponibile il più velocemnte possibile le relative errate e patch. Per uno stato aggiornato di questo problema, e altre problematiche relative, consultare Apache commons-collections: Remote code execution during deserialisation.
Una soluzione temporanea è quella di rimuovere i file relativi alla classe vulnerabile (InvokerTransformer, InstantiateFactory, and InstantiateTransformer) in tutti i file jar commons-collections. È consigliato prima testare tutte le modifiche apportate per evitare possibili imprevisti.
Se la libreria commons-collection viene inclusa con l'applicazione, questa vulnerabilità può rappresentare un rischio anche dopo aver applicato i patch relativi. A tal proposito è necessario modificare la libreria stessa.
Poichè questo problema interessa Boss Middleware Suite, è stato conferito il nome CVE-2015-7501. Altri rivenditori invece usano CVE-2015-4852.
Root Cause
Per sfruttare questa vulnerabilità è necessaria la presenza di svariate condizioni. Per eseguire un remote-code execution (RCE) la configurazione deve:
- Accettare dati serializzati non fidati
- Permettere una deserializzazione cieca (blind deserialization) dei dati
- Presenza delle classi vulnerabili nel classpath
Per maggiori informazioni su JMXInvokerServlet consultare questo article
È consigliato adottare misure di "difesa dettagliate" per la sicurezza dei sistemi. Il Red Hat Product Security ha intrapreso un processo di identificazione per le soluzioni migliori relative ai propri prodotti per questa vulnerabilità, e per le vulnerabilità di deserializzazione di classi più ampie.
Maggiori informazioni sulle deserializzazione di Java sono disponibili in Red Hat Security Blog. In futuro verranno resi disponibili alcuni blog che affronteranno questo tipo di argomento.
This solution is part of Red Hat’s fast-track publication program, providing a huge library of solutions that Red Hat engineers have created while supporting our customers. To give you the knowledge you need the instant it becomes available, these articles may be presented in a raw and unedited form.
Comments