Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 9/11/2015
Flere applikationsservere og applikationer skrevet i Java har en alvorlig sårbarhed. Angribere kan udnytte den til at afvikle skadelige programmer.Blandt de sårbare systemer er WebLogic, WebSphere, JBoss, Jenkins og OpenNMS. Alle applikationer der udnytter biblioteket commons-collection og tillader deserialization af brugerdata, kan være sårbare.
Sårbarheden har været kendt siden den 28. januar. Den ligger i kode, som henter lagrede binære data (såkaldt serialiserede data) ind og omdanner dem til data, Java kan arbejde med.
Sikkerhedsforskere fra FoxGlove Security har demonstreret angreb, der virker på WebLogic, WebSphere, JBoss, Jenkins og OpenNMS.
Sårbarheden findes i klassen InvokerTransformer. Man kan rette fejlen ved at fjerne klassefilen fra Java-systemet. Det kræver, at ingen af ens Java-applikationer anvender den.
Udviklerne af Jenkins arbejder på at lukke sikkerhedshullet. Indtil det er sket, kan man fjerne muligheden for at udnytte sårbarheden ved at køre et script, de har offentliggjort.
Anbefaling
Undlad deserialization af brugerdata, medmindre dataene først er tjekket. Overvej at fjerne InvokerTransformer-klassen.
Links
- What Do WebLogic, WebSphere, JBoss, Jenkins, OpenNMS, and Your Application Have in Common? This Vulnerability, blogindlæg fra FoxGlove Security
- AppSecCali 2015 - Marshalling Pickles, præsentation af Gabriel Lawrence og Chris Frohoff
- Mitigating unauthenticated remote code execution 0-day in Jenkins CLI