Betreffen die Unserialisierungs-/Deserialisierungs-Exploits gegen die Bibliothek von Commons-Sammlungen Red Hat JBoss Produkte? (CVE-2015-7501 )
Environment
- Red Hat JBoss A-MQ 6.x
- Red Hat JBoss BPM Suite (BPMS) 6.x
- Red Hat JBoss BRMS 6.x
- Red Hat JBoss BRMS 5.x
- Red Hat JBoss Data Grid (JDG) 6.x
- Red Hat JBoss Data Virtualization (JDV) 6.x
- Red Hat JBoss Data Virtualization (JDV) 5.x
- Red Hat JBoss Enterprise Application Platform 6.x
- Red Hat JBoss Enterprise Application Platform 5.x
- Red Hat JBoss Enterprise Application Platform 4.3.x
- Red Hat JBoss Fuse 6.x
- Red Hat JBoss Fuse Service Works (FSW) 6.x
- Red Hat JBoss Operations Network (JBoss ON) 3.x
- Red Hat JBoss Portal 6.x
- Red Hat JBoss SOA Platform (SOA-P) 5.x
- Red Hat JBoss Web Server (JWS) 3.x
Issue
-
Es wurde ein Problem bei der Java Objektserialisierung, das die
JMXInvokerServletSchnittstelle betrifft:
http://foxglovesecurity.com/2015/11/06/what-do-weblogic-websphere-jboss-jenkins-opennms-and-your-application-have-in-common-this-vulnerability/ -
Könnte ein unauthentifizierter Angreifer, der auf das
JMXInvokerServletzugreifen kann, einen beliebigen Code ausführen in Verbindung mit dem Benutzer, von dem der JBoss Server ausgeführt wird? - Unser Sicherheitsteam hat eine Warnung zur zero-day Schwachstelle gemeldet.Ist Red Hat diese Schwachstelle bereits bekannt & wird an einer Fehlerbehebung gearbeitet? Falls ja, für wann wird die Release der Fehlerbehebung erwartet?
-
Gibt es eine Schwachstelle bei entfernter Codeausführung in der Bibliothek von Commons-Sammlungen?
-
Betreffen CVE-2015-7501 oder CVE-2015-4852 die JBoss Middleware Suite?
Resolution
Alle Produkte, die unter Umgebung aufgelistet sind, sind anfällig. Red Hat arbeitet an der Lösung dieser Probleme und wird so bald wie möglich Errata und Patches veröffentlichen. Um den aktuellen Stand dieses und verwandter Probleme abzufragen, richten Sie sich bitte an Apache commons-collections: Remote code execution during deserialisation.
In der Zwischenzeit ist die schnellste Lösung dieser spezielle Deserialisierungs-Schwachstelle die Entfernung der anfälligen Klassendateien (InvokerTransformer, InstantiateFactory und InstantiateTransformer) in allen JAR-Dateien der Commons-Sammlungen. Manuelle Änderungen sollten getestet werden um unvorhergesehene Komplikationen zu vermeiden.
Wenn Sie die Bibliothek der Commons-Sammlung in Ihrer Applikation verpacken, kann sie auch dann noch anfällig bleiben, wenn die in Kürze erscheinenden Patches angewendet wurden. Sie müssen selbst Änderungen an der Bibliothek der Commons-Sammlung vornehmen, wenn Sie eine verpacken.
Das Problem betrifft die JBoss Middleware Suite und wird daher als CVE-2015-7501 bezeichnet. Andere Anbieter nennen es auch CVE-2015-4852.
Root Cause
Dies ist ein mehrteiliger Fehler, bei dem mehrere Konditionen notwendig sind um ein Exploit zu ermöglichen. Damit Remote-Code Execution (RCE) eines Angreifers funktioniert, muss die Konfiguration:
- Nicht vertrauenswürdige, serialisierte Daten annehmen
- Blinde Deserialisierung dieser Daten zulassen
- Klassen mit der Schwachstelle müssen im Klassenpfad verfügbar sein
Weitere Informationen speziell über das JMXInvokerServlet finden Sie in diesem Artikel
Den Kunden wird empfohlen ihre Systeme mithilfe einer "tiefgreifenden Vorbeugungsmaßnahme" zu sichern. Red Hat Produktsicherheit ermittelt für seine Produkte im Allgemeinen die beste Vorgehensweise hinsichtlich dieser Schwachstelle und der größeren Klasse von Deserialisierungs-Schwachstellen.
Weitere Informationen zu diesem Problem von Java Deserialisierung finden Sie im Red Hat Security Blog. Wir werden in naher Zukunft auch weitere Blogs zu diesem Thema haben.
This solution is part of Red Hat’s fast-track publication program, providing a huge library of solutions that Red Hat engineers have created while supporting our customers. To give you the knowledge you need the instant it becomes available, these articles may be presented in a raw and unedited form.
Comments