Warning message

This translation is outdated. For the most up-to-date information, please refer to the English version.

針對於 commons-collections 函式庫的反序列化入侵是否會影響 Red Hat JBoss 產品?(CVE-2015-7501 )

Environment

  • Red Hat JBoss A-MQ 6.x
  • Red Hat JBoss BPM Suite (BPMS) 6.x
  • Red Hat JBoss BRMS 6.x
  • Red Hat JBoss BRMS 5.x
  • Red Hat JBoss Data Grid (JDG) 6.x
  • Red Hat JBoss Data Virtualization (JDV) 6.x
  • Red Hat JBoss Data Virtualization (JDV) 5.x
  • Red Hat JBoss Enterprise Application Platform 6.x
  • Red Hat JBoss Enterprise Application Platform 5.x
  • Red Hat JBoss Enterprise Application Platform 4.3.x
  • Red Hat JBoss Fuse 6.x
  • Red Hat JBoss Fuse Service Works (FSW) 6.x
  • Red Hat JBoss Operations Network (JBoss ON) 3.x
  • Red Hat JBoss Portal 6.x
  • Red Hat JBoss SOA Platform (SOA-P) 5.x
  • Red Hat JBoss Web Server (JWS) 3.x

Issue

  • 已回報一項影響了 JMXInvokerServlet 介面的 Java Object Serialization 問題:
    http://foxglovesecurity.com/2015/11/06/what-do-weblogic-websphere-jboss-jenkins-opennms-and-your-application-have-in-common-this-vulnerability/

  • 未經過認證的攻擊者是否能存取 JMXInvokerServlet,並以運作 JBoss 伺服器的使用者身份執行任意程式碼?

  • 我們已收到來自於我們「zero-day vulnerability」安全性團隊的警告。Red Hat 是否已知這項問題並正在規劃修正此漏洞?若是的話,這項修正將預期能在什麼時候發佈?
  • commons-collections 函式庫中是否存在著遠端程式碼執行上的漏洞?

  • CVE-2015-7501 或 CVE-2015-4852 是否會影響 JBoss Middleware Suite?

Resolution

列在「環境」部分中的所有產品皆有可能受到攻擊。Red Hat 正在嘗試解決這項問題,並且將會盡快發佈勘誤和修補檔案。欲取得此問題及所有相關問題上的即時狀態,請參閱 Apache commons-collections: Remote code execution during deserialisation

在此過渡期間,解決這項特定反序列化漏洞的最快方式就是將所有 commons-collections jar 檔案中,易受到攻擊的 class 檔案(InvokerTransformerInstantiateFactoryInstantiateTransformer)移除。任何手動變更皆應該經過測試,以避免發生非預期的複雜問題。

若您將 commons-collection 函式庫封裝在您的應用程式中,儘管在套用了即將到來的修補檔案之後,您依然可能受到攻擊。若您封裝了 commons-collections 函式庫,您必須自行對其進行變更。

因為這項問題影響了 JBoss Middleware Suite,因此應以 CVE-2015-7501 參照。其它廠商以 CVE-2015-4852 來參照這項問題。

Root Cause

這是個多部分瑕疵,必須滿足數項條件才能構成入侵。若攻擊者要成功進行遠端程式碼執行(RCE)配置必須:

  • 接受非信任的序列化資料
  • 接受盲點反序列化該資料
  • 含有此漏洞的 class 必須位於 classpath 中

欲取得更多有關於 JMXInvokerServlet 的特定資訊,請參閱此文章

我們鼓勵客戶進行「全面性」的防護措施以保障他們的系統。Red Hat Product Security 正在為其產品針對於這項漏洞,以及更大型的反序列化漏洞類型判斷出最佳的解決方式。

您可在 Red Hat Security Blog 中找到更多有關於 Java 反序列化問題上的相關資訊。我們在不久的將來,會提供更多有關於這項主題的部落格。

This solution is part of Red Hat’s fast-track publication program, providing a huge library of solutions that Red Hat engineers have created while supporting our customers. To give you the knowledge you need the instant it becomes available, these articles may be presented in a raw and unedited form.