Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

汎用Javaライブラリに深刻な脆弱性 - 探索行為も発生中

広く使われているJavaライブラリに深刻な脆弱性が存在し、主要ミドルウェアなども影響を受けるとしてセキュリティ機関が注意を呼びかけている。脆弱性を探索する探索行為も観測されている。

オープンソースのJavaライブラリ「Apache Commons Collections」において、シリアライズしたデータをデシリアライズする「InvokerTransformerクラス」に脆弱性が判明したもの。

シリアライズしたデータへコードを埋め込むことが可能であり、ネットワークやドライブから信頼できないデータを受け取り、デシリアライズの処理を行った場合にコードを実行されるおそれがある。

同ライブラリを活用するウェブアプリケーションにくわえて、主要ミドルウェア「WebLogic」「WebSphere」「Jenkins」「OpenNMS」にも同ライブラリが含まれており、波紋が広がっている。

問題の脆弱性は、米国でOWASPが開催した「AppSec California 2015」で研究者2名が1月に発表したが、修正などは行われていなかった。

同問題に対し、Foxglove Securityの研究者が、深刻な脆弱性にも関わらず、ここ最近注目を浴びた脆弱性のようにプレスリリースが発表されたり、名称が与えらることはなく、過小評価されていると指摘。主要ミドルウェアが影響を受けることを示す実証コードを公開した。

現在、脆弱性を根本的に解決する方法は用意されていない。応急処置として同クラスを無効化するパッチが公開されているほか、セキュリティ機関では信頼できないデータを受信しないよう注意を呼びかけている。

すでに今回の脆弱性を探索する動きも確認されている。警察庁によれば、複数のソフトウェアを対象に脆弱性を探し出すツールが公開されている。

また同庁では、実際に「WebLogic Server」の管理コンソールに対するアクセスを観測。ログインの試行などではなく、今回問題となっている脆弱性の探索が目的だったという。

アクセス元は不明で脆弱性を探索する目的は不明だが、攻撃に悪用される可能性もあるとして同庁は注意を呼びかけている。

(Security NEXT - 2015/11/17 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Microsoft Windows Codecs Library」に複数脆弱性 - 定例外で更新
NETGEAR製品に10件のゼロデイ脆弱性 - 多数製品に影響
Palo Alto Networksの「PAN-OS」に認証回避の脆弱性 - VPNなども影響
「Apache Tomcat」に脆弱性 - DoS攻撃受けるおそれ
「VMware ESXi」など複数製品に深刻な脆弱性 - アップデートを
「Magento」に脆弱性 - 「1系」まもなくEOL、最後の更新
RPCフレームワーク「Apache Dubbo」にRCE脆弱性
脆弱性を解消した「Firefox for iOS 27」がリリース
「e-Tax受付システム」利用者向けのChrome拡張機能に脆弱性
「Apache Spark」に脆弱性、アップデートがリリース