Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

汎用Javaライブラリに深刻な脆弱性 - 探索行為も発生中

広く使われているJavaライブラリに深刻な脆弱性が存在し、主要ミドルウェアなども影響を受けるとしてセキュリティ機関が注意を呼びかけている。脆弱性を探索する探索行為も観測されている。

オープンソースのJavaライブラリ「Apache Commons Collections」において、シリアライズしたデータをデシリアライズする「InvokerTransformerクラス」に脆弱性が判明したもの。

シリアライズしたデータへコードを埋め込むことが可能であり、ネットワークやドライブから信頼できないデータを受け取り、デシリアライズの処理を行った場合にコードを実行されるおそれがある。

同ライブラリを活用するウェブアプリケーションにくわえて、主要ミドルウェア「WebLogic」「WebSphere」「Jenkins」「OpenNMS」にも同ライブラリが含まれており、波紋が広がっている。

問題の脆弱性は、米国でOWASPが開催した「AppSec California 2015」で研究者2名が1月に発表したが、修正などは行われていなかった。

同問題に対し、Foxglove Securityの研究者が、深刻な脆弱性にも関わらず、ここ最近注目を浴びた脆弱性のようにプレスリリースが発表されたり、名称が与えらることはなく、過小評価されていると指摘。主要ミドルウェアが影響を受けることを示す実証コードを公開した。

現在、脆弱性を根本的に解決する方法は用意されていない。応急処置として同クラスを無効化するパッチが公開されているほか、セキュリティ機関では信頼できないデータを受信しないよう注意を呼びかけている。

すでに今回の脆弱性を探索する動きも確認されている。警察庁によれば、複数のソフトウェアを対象に脆弱性を探し出すツールが公開されている。

また同庁では、実際に「WebLogic Server」の管理コンソールに対するアクセスを観測。ログインの試行などではなく、今回問題となっている脆弱性の探索が目的だったという。

アクセス元は不明で脆弱性を探索する目的は不明だが、攻撃に悪用される可能性もあるとして同庁は注意を呼びかけている。

(Security NEXT - 2015/11/17 ) このエントリーをはてなブックマークに追加

PR

関連記事

PHPにコード実行の脆弱性、リスク「高」 - アップデートがリリース
ファイル送受信用アプライアンス「FileZen」に複数の脆弱性
「OpenAM」に「秘密の質問」を書き換えてPW変更が可能となる脆弱性
開発段階の車載ECUに脆弱性検査を行える「ThreatHive」 - アズジェント
データ解析ツール「Metabase」にXSSの脆弱性
「VMware ESXi」にDoS攻撃受けるおそれ、ホストや他VMにも影響 - パッチは未提供
VMwareの「AirWatch Console」に深刻な脆弱性 - 認証回避のおそれ
ソニーの音楽管理アプリに脆弱性 - 不正ファイル実行のおそれ
ソースコード管理システム「User-friendly SVN」にXSS脆弱性
「Adobe Experience Manager」にセキュリティアップデート - 脆弱性5件を解消