Warning message

This translation is outdated. For the most up-to-date information, please refer to the English version.

В какой степени уязвимость десериализации в библиотеке commons-collections подвергает риску безопасность продуктов Red Hat JBoss?

Solution Verified - Updated -

Environment

  • Red Hat JBoss A-MQ 6.x
  • Red Hat JBoss BPM Suite (BPMS) 6.x
  • Red Hat JBoss BRMS 6.x
  • Red Hat JBoss BRMS 5.x
  • Red Hat JBoss Data Grid (JDG) 6.x
  • Red Hat JBoss Data Virtualization (JDV) 6.x
  • Red Hat JBoss Data Virtualization (JDV) 5.x
  • Red Hat JBoss Enterprise Application Platform 6.x
  • Red Hat JBoss Enterprise Application Platform 5.x
  • Red Hat JBoss Enterprise Application Platform 4.3.x
  • Red Hat JBoss Fuse 6.x
  • Red Hat JBoss Fuse Service Works (FSW) 6.x
  • Red Hat JBoss Operations Network (JBoss ON) 3.x
  • Red Hat JBoss Portal 6.x
  • Red Hat JBoss SOA Platform (SOA-P) 5.x
  • Red Hat JBoss Web Server (JWS) 3.x

Issue

  • Интерфейс JMXInvokerServlet оказался уязвимым вследствие небезопасной сериализации объектов Java:
    http://foxglovesecurity.com/2015/11/06/what-do-weblogic-websphere-jboss-jenkins-opennms-and-your-application-have-in-common-this-vulnerability/

  • Возможно ли получить несанкционированный доступ к JMXInvokerServlet и исполнить произвольный код в контексте пользователя, запустившего сервер JBoss?

  • Наш отдел безопасности сообщил об уязвимости «нулевого дня». Известно ли о ней Red Hat, и какие действия предпринимаются для решения этой проблемы? В какие сроки планируется выпустить исправления?
  • Какова вероятность проведения удаленной атаки на библиотеку commons-collections?

  • Подвергают ли CVE-2015-7501 и CVE-2015-4852 риску безопасность JBoss Middleware Suite?

Resolution

Все перечисленные выше продукты подвержены риску. Red Hat уже занимается разработкой практического решения с целью скорейшего выпуска исправлений. Текущий статус этого и других конфликтов можно отследить на странице: Apache commons-collections: Remote code execution during deserialisation.

На данном этапе наиболее быстрый метод решения этой проблемы заключается в удалении уязвимых классов InvokerTransformer, InstantiateFactory и InstantiateTransformer из jar-файлов common-collections. Во избежание потенциальных осложнений сделанные вручную изменения необходимо протестировать.

Интеграция commons-collection в программную сборку не снижает вероятность ее взлома, даже после применения исправлений, закрывающих объявленную уязвимость. В этой ситуации изменения в библиотеку должны вноситься индивидуально, прежде чем она сможет быть включена в сборку конкретных приложений.

Вследствие того, что эта уязвимость напрямую подвергает риску безопасность JBoss Middleware Suite, ей был присвоен код CVE-2015-7501. Другими производителями может использоваться код CVE-2015-4852.

Root Cause

Для успешной эксплуатации этой уязвимости должен быть создан ряд необходимых условий. В частности, исполнение удаленного кода становится возможным, если:

  • конфигурация допускает получение недоверенных сериализованных данных,
  • конфигурация разрешает слепую десериализацию полученных данных,
  • уязвимые классы доступны в classpath.

Подробную информацию относительно JMXInvokerServlet можно найти в отдельной статье.

Во избежание инцидентов мы рекомендуем нашим клиентам придерживаться стратегии эшелонированной защиты систем. Центр безопасности Red Hat активно работает над определением дальнейших мер по обеспечению защиты продуктов Red Hat от этой и других уязвимостей, связанных с десериализацией.

Проблемы десериализации в Java детально обсуждаются в блоге по безопасности Red Hat. В ближайшее время мы планируем публикацию дополнительных сегментов по этой теме.

This solution is part of Red Hat’s fast-track publication program, providing a huge library of solutions that Red Hat engineers have created while supporting our customers. To give you the knowledge you need the instant it becomes available, these articles may be presented in a raw and unedited form.