Rettelser til Java-hul er på vej

Artiklen blev oprindeligt publiceret den 11/11/2015

Udviklerne af Apache Commons har foreslået en rettelse, der kan lukke et alvorligt sikkerhedshul i Commons Collections. Oracle arbejder på en opdatering til WebLogic.

Sårbarheden har været kendt siden januar, men først for nylig udsendte sikkerhedsforskere angrebsprogrammer, der udnytter den. De demonstrerede, at sårbarheden kan udnyttes uden autentifikation i programmer som WebLogic, WebSphere, JBoss, Jenkins og OpenNMS.

Udviklerne af Apache Commons er kommet med et bud på en løsning. Den rettede kode fjerner deserialization-funktionen i klassen InvokerTransformer som standard.

Oracle oplyser, at de arbejder på en rettelse til WebLogic. Firmaet har udsendt anbefalinger til, hvordan man kan mindske risikoen for, at angreb udnytter sårbarheden.

Sårbarheden ventes at blive vanskelig at rette, fordi Commons Collections indgår i en lang række Java-applikationer.

Anbefaling
Afvent opdateringer til Commons Collections.

Links

• Critical Java Bug Extends to Oracle, IBM Middleware, artikel fra Kaspersky Threatpost
• Security Alert CVE-2015-4852 Released, blogindlæg fra Oracle
• Oracle Security Alert for CVE-2015-4852
• Forslag til rettelse til Apache Commons Collections
• Mange Java-applikationer er sårbare, DKCERT 09-11-2015