Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

汎用Javaライブラリに深刻な脆弱性 - 探索行為も発生中

広く使われているJavaライブラリに深刻な脆弱性が存在し、主要ミドルウェアなども影響を受けるとしてセキュリティ機関が注意を呼びかけている。脆弱性を探索する探索行為も観測されている。

オープンソースのJavaライブラリ「Apache Commons Collections」において、シリアライズしたデータをデシリアライズする「InvokerTransformerクラス」に脆弱性が判明したもの。

シリアライズしたデータへコードを埋め込むことが可能であり、ネットワークやドライブから信頼できないデータを受け取り、デシリアライズの処理を行った場合にコードを実行されるおそれがある。

同ライブラリを活用するウェブアプリケーションにくわえて、主要ミドルウェア「WebLogic」「WebSphere」「Jenkins」「OpenNMS」にも同ライブラリが含まれており、波紋が広がっている。

問題の脆弱性は、米国でOWASPが開催した「AppSec California 2015」で研究者2名が1月に発表したが、修正などは行われていなかった。

同問題に対し、Foxglove Securityの研究者が、深刻な脆弱性にも関わらず、ここ最近注目を浴びた脆弱性のようにプレスリリースが発表されたり、名称が与えらることはなく、過小評価されていると指摘。主要ミドルウェアが影響を受けることを示す実証コードを公開した。

現在、脆弱性を根本的に解決する方法は用意されていない。応急処置として同クラスを無効化するパッチが公開されているほか、セキュリティ機関では信頼できないデータを受信しないよう注意を呼びかけている。

すでに今回の脆弱性を探索する動きも確認されている。警察庁によれば、複数のソフトウェアを対象に脆弱性を探し出すツールが公開されている。

また同庁では、実際に「WebLogic Server」の管理コンソールに対するアクセスを観測。ログインの試行などではなく、今回問題となっている脆弱性の探索が目的だったという。

アクセス元は不明で脆弱性を探索する目的は不明だが、攻撃に悪用される可能性もあるとして同庁は注意を呼びかけている。

(Security NEXT - 2015/11/17 ) このエントリーをはてなブックマークに追加

PR

関連記事

Apple、「iOS」「iPadOS」のセキュリティアップデートを公開
「Firefox 124.0.1」が公開、深刻な脆弱性2件を解消
ブラウザ「MS Edge」にアップデート - 9件の脆弱性を修正
Google、ブラウザ最新版「Chrome 123」をリリース - 複数脆弱性を修正
「GitHub Enterprise Server」に複数脆弱性 - アップデートが公開
Ivantiの複数製品に深刻な脆弱性 - 早急なパッチ適用を強く推奨
Atlassian、3月の月例アドバイザリを公開 - 脆弱性24件に対応
「Firefox 124」が公開、「クリティカル」含む脆弱性12件を修正
WordPress向け求人プラグインに脆弱性 - リモートよりコード実行のおそれ
「Microsoft Edge」にアップデート - 脆弱性4件を解消