Warning message

This translation is outdated. For the most up-to-date information, please refer to the English version.

针对于 commons-collections 库的 unserialization/deserialization 安全漏洞是否对 Red Hat JBoss 产品有影响? (CVE-2015-7501 )

Solution Verified - Updated -

Environment

  • Red Hat JBoss A-MQ 6.x
  • Red Hat JBoss BPM Suite (BPMS) 6.x
  • Red Hat JBoss BRMS 6.x
  • Red Hat JBoss BRMS 5.x
  • Red Hat JBoss Data Grid (JDG) 6.x
  • Red Hat JBoss Data Virtualization (JDV) 6.x
  • Red Hat JBoss Data Virtualization (JDV) 5.x
  • Red Hat JBoss Enterprise Application Platform 6.x
  • Red Hat JBoss Enterprise Application Platform 5.x
  • Red Hat JBoss Enterprise Application Platform 4.3.x
  • Red Hat JBoss Fuse 6.x
  • Red Hat JBoss Fuse Service Works (FSW) 6.x
  • Red Hat JBoss Operations Network (JBoss ON) 3.x
  • Red Hat JBoss Portal 6.x
  • Red Hat JBoss SOA Platform (SOA-P) 5.x
  • Red Hat JBoss Web Server (JWS) 3.x

Issue

Resolution

在上面环境部分列出的所有产品都存在这个漏洞。Red Hat 正在开发相应的解决方案,并会尽早发布相关的勘误和补丁程序。如需了解本问题当前的状态以及所有相关信息,请参阅 Apache commons-collections: Remote code execution during deserialisation

在此期间,解决这个 deserialization 漏洞的最快方法是从所有 commons-collections jar 文件中删除存在漏洞的 class 文件(InvokerTransformerInstantiateFactoryInstantiateTransformer)。任何手动修改均应进行测试,以避免造成无法预测的复杂情况。

如果已将 commons-collection 库打包在您的应用程序中,即使在应用了我们以后提供的补丁程序后,您的程序可能还会存在相关的安全漏洞。在这种情况下,您需要自己修改 commons-collections 库。

因为这个问题会影响 JBoss Middleware Suite,因此应称其为 CVE-2015-7501。其他供应商将其称为 CVE-2015-4852。

Root Cause

这个漏洞只有在多个条件同时满足时才会被用来进行攻击。攻击者能够利用远程代码执行(remote-code execution,简称 RCE)进行攻击的条件是系统配置必须为:

  • 接受不可信的序列化数据
  • 允许那个数据的盲反序列化(blind deserialization)
  • classpath 中必须有存在漏洞的类

如需了解更多 JMXInvokerServlet 的具体信息,请参阅 article

强烈建议用户使用“深度防御”策略保证其系统安全。Red Hat 产品安全团队正在研究今后用于解决这一漏洞(以及更广泛的反序列化(deserialization)漏洞)的最佳办法。

有关 Java 反序列化问题详情,请查看 Red Hat 安全博客。近期我们还将就此主题发布更多博文。

This solution is part of Red Hat’s fast-track publication program, providing a huge library of solutions that Red Hat engineers have created while supporting our customers. To give you the knowledge you need the instant it becomes available, these articles may be presented in a raw and unedited form.