「Apache Jackrabbit」に脆弱性 - リモートからコード実行のおそれ

Javaプラットフォーム向けの階層型コンテンツストアである「Apache Jackrabbit」に深刻な脆弱性が明らかとなった。アップデートが提供されている。

「Apache Jackrabbit 2.21.17」「同2.20.10」および以前のバージョンに信頼できないデータをデシリアライズする脆弱性「CVE-2023-37895」が明らかとなったもの。スタンドアロン、ウェブアプリのいずれも影響を受ける。

Javaオブジェクトのデシリアライズ処理に起因し、「RMI（Remote Method Invocation）」経由でリモートからコードを実行されるおそれがある。GitHubにおいて重要度が「クリティカル（Critical）」とレーティングされている。

開発グループでは、脆弱性を修正した「同2.21.18」「同2.20.11」を現地時間7月24日にリリースしており、早急にアップデートするよう呼びかけている。「同1.0」「同2.18」についてはサポートの終了を迎えており、アップデートを利用できないため注意が必要。

また「RMI」のサポートに関しては、クラスパス上に悪用可能なクラスが存在すれば脆弱性が露呈することになるとして「RMI」によるアクセスを無効化することを推奨。今後「Jackrabbit」では、「RMI」のサポートについて廃止を検討する予定だという。

（Security NEXT - 2023/07/27 ）ツイート