Warning message

This translation is outdated. For the most up-to-date information, please refer to the English version.

commons-collections ライブラリーに対するデシリアライズの悪用は Red Hat 製品に影響しますか? (CVE-2015-7501 )

Environment

  • Red Hat JBoss A-MQ 6.x
  • Red Hat JBoss BPM Suite (BPMS) 6.x
  • Red Hat JBoss BRMS 6.x
  • Red Hat JBoss BRMS 5.x
  • Red Hat JBoss Data Grid (JDG) 6.x
  • Red Hat JBoss Data Virtualization (JDV) 6.x
  • Red Hat JBoss Data Virtualization (JDV) 5.x
  • Red Hat JBoss Enterprise Application Platform 6.x
  • Red Hat JBoss Enterprise Application Platform 5.x
  • Red Hat JBoss Enterprise Application Platform 4.3.x
  • Red Hat JBoss Fuse 6.x
  • Red Hat JBoss Fuse Service Works (FSW) 6.x
  • Red Hat JBoss Operations Network (JBoss ON) 3.x
  • Red Hat JBoss Portal 6.x
  • Red Hat JBoss SOA Platform (SOA-P) 5.x
  • Red Hat JBoss Web Server (JWS) 3.x

Issue

  • JMXInvokerServlet インターフェースに影響する Java オブジェクトシリアライゼーションの問題が報告されました。
    http://foxglovesecurity.com/2015/11/06/what-do-weblogic-websphere-jboss-jenkins-opennms-and-your-application-have-in-common-this-vulnerability/

  • 認証されていない攻撃者が JMXInvokerServlet にアクセスし、JBoss サーバーを実行しているユーザーのコンテキストで任意のコードを実行できますか?

  • ゼロデイ脆弱性についての警告がセキュリティーチームから出されています。RedHat はこの脆弱性を認識した上で修正に取り組んでいますか? その場合、修正はいつ頃リリースされる予定ですか?
  • commons-collections ライブラリーにはリモートコード実行の脆弱性が存在しますか?

  • CVE-2015-7501 または CVE-2015-4852 は JBoss Middleware 製品に影響しますか?

Resolution

「環境」の下に記載されているすべての製品に脆弱性が存在します。 現在、Red Hat はこの問題の修正に取り組んでおり、できる限り早急にエラータとパッチをリリースする予定です。この問題と関連する問題の現況については、Apache commons-collections: Remote code execution during deserialisation を参照してください。

デシリアライズの脆弱性を解決する暫定的な処置としては、すべての commons-collections jar ファイルにある脆弱性の存在するクラスファイル (InvokerTransformerInstantiateFactory、および InstantiateTransformer) を削除するのが最も簡単な方法です。手作業による変更はテストし、予期せぬ問題が発生しないようにしてください。

commons-collection ライブラリーをアプリケーションでパッケージ化する場合、今後リリースされるパッチを適用しても脆弱性が修正されない可能性があります。パッケージ化する場合は、ユーザーが commons-collections ライブラリーに変更を加える必要があります。

この問題は JBoss Middleware 製品に影響を与えるもので CVE-2015-7501 として参照されています。他のベンダーについては、CVE-20 15-4852 として参照されています。

Root Cause

これは、複数の要素による欠陥で、悪用には複数の条件を満たす必要があります。攻撃者がリモートコードの実行 (RCE) で不正操作を行うには、設定上以下を行う必要があります。

  • 信頼できないシリアライズされたデータの許可
  • そのデータのブラインドデシリアライゼーションの許可
  • 脆弱性のあるクラスがクラスパスに存在する

JMXInvokerServlet に関する詳細は 記事 を参照してください。

多層防御 (defense-in-depth) でシステムをセキュア化することが推奨されます。Red Hat セキュリティーレスポンスチームは、この脆弱性とその他のデシリアライズの脆弱性に関して、製品に最も適した対応策を検討中です。

Java デシリアライゼーションの問題に関する詳細は Red Hat Security Blog (英語) を参照してください。今後もこの件に関してブログを更新していく予定です。

This solution is part of Red Hat’s fast-track publication program, providing a huge library of solutions that Red Hat engineers have created while supporting our customers. To give you the knowledge you need the instant it becomes available, these articles may be presented in a raw and unedited form.