As vulnerabilidades de não serialização/ desserialização da biblioteca commons-collections afetam os produtos Red Hat JBoss? (CVE-2015-7501 )
Environment
- Red Hat JBoss A-MQ 6.x
- Red Hat JBoss BPM Suite (BPMS) 6.x
- Red Hat JBoss BRMS 6.x
- Red Hat JBoss BRMS 5.x
- Red Hat JBoss Data Grid (JDG) 6.x
- Red Hat JBoss Data Virtualization (JDV) 6.x
- Red Hat JBoss Data Virtualization (JDV) 5.x
- Red Hat JBoss Enterprise Application Platform 6.x
- Red Hat JBoss Enterprise Application Platform 5.x
- Red Hat JBoss Enterprise Application Platform 4.3.x
- Red Hat JBoss Fuse 6.x
- Red Hat JBoss Fuse Service Works (FSW) 6.x
- Red Hat JBoss Operations Network (JBoss ON) 3.x
- Red Hat JBoss Portal 6.x
- Red Hat JBoss SOA Platform (SOA-P) 5.x
- Red Hat JBoss Web Server (JWS) 3.x
Issue
-
Foi relatado um problema na Serialização de Objetos Java afetando a interface
JMXInvokerServlet:
http://foxglovesecurity.com/2015/11/06/what-do-weblogic-websphere-jboss-jenkins-opennms-and-your-application-have-in-common-this-vulnerability/ -
Poderia um invasor não autenticado, capaz de acessar o
JMXInvokerServlet, executar códigos arbitrários no contexto do usuário executando o servidor JBoss? - Recebemos um alerta da equipe de segurança sobre uma vulnerabilidade de dia zero. A Red Hat já tomou conhecimento sobre esta vulnerabilidade & está trabalhando para corrigí-la? Se sim, quando essa correção deve ser lançada?
-
Existe alguma vulnerabilidade na execução remota de código na biblioteca commons-collections?
-
A CVE-2015-7501 ou a CVE-2015-4852 afetam o JBoss Middleware Suite?
Resolution
Todos os produtos listados na seção ambiente são vulneráveis. A Red Hat está trabalhando para corrigir e resolver este problema e liberará as erratas e correções assim que possível. Para verificar o status atual e todos os problemas relacionados a esta questão, por favor consulte Apache commons-collections: Execução remota de código durante a desserialização.
Nesse meio tempo, a forma mais rápida de resolver essa específica vulnerabilidade de desserialização é removendo os arquivos de classe vulneráveis (InvokerTransformer, InstantiateFactorye InstantiateTransformer) em todos os arquivos jar commons-collections. Qualquer mudança manual deve ser testada para evitar complicações inesperadas.
Se você empacotar a biblioteca commons-collections no seu aplicativo, você ainda pode estar vulnerável, mesmo após a aplicação das correções vindouras. Você próprio precisará efetuar as mudanças na biblioteca commons-collections, caso empacote uma.
Como este problema afeta o JBoss Middleware Suite, ele deve ser referido como CVE-2015-7501. Outros fornecedores têm se referido a ele como CVE-2015-4852.
Root Cause
Essa falha é composta por várias partes, com diversas condições necessárias permitindo a vulnerabilidade ocorrer. Para que a execução remota de código (RCE) partindo de um invasor funcione, a configuração deve:
- Aceitar dados serializados não confiáveis
- Permitir a desserialização cega desses dados
- As classes com a vulnerabilidade devem estar disponíveis no caminho de classe
Para mais informações sobre o JMXInvokerServlet especificamente, por favor consulte esse artigo
Recomendamos aos clientes a adoção da abordagem "proteção abrangente" para proteger seus sistemas. A Red Hat Product Security está estabelecendo o melhor caminho daqui em diante para seus produtos com relação a essa vulnerabilidade e à classe mais ampla de vulnerabilidades de desserialização.
Mais informações sobre os problemas de desserialização Java podem ser encontrados no Blog sobre Segurança da Red Hat. Teremos ainda mais blogs sobre esse tema em um futuro próximo.
This solution is part of Red Hat’s fast-track publication program, providing a huge library of solutions that Red Hat engineers have created while supporting our customers. To give you the knowledge you need the instant it becomes available, these articles may be presented in a raw and unedited form.
Comments