Af Torben B. Sørensen, 07/04/17
Sårbarheden ligger i deserialization-funktionerne, der omdanner en strøm af bytes til et objekt. Flere programmer har tidligere haft sårbarheder i behandlingen af deserialization.
En sikkerhedsforsker har fundet tre sårbarheder i Java-implementeringer af koden, der udfører deserialization på objekter af typen Action Message Format. Det er et format, Adobe anvender i Flash Player.
Blandt de sårbare produkter er Adobe Flex BlazeDS, som Adobe ikke længere vedligeholder. Brugere anbefales at bruge den open source-version, som Apache vedligeholder.
Apache Flex BlazeDS version 4.7.3 lukker hullerne.
Atlassian oplyser, at JIRA Server version 6.3.0 lukker hullerne, der har været i programmet siden version 4.2.4.
Ifølge sikkerhedsforsker Markus Wulftange er der også sårbarheder i Flamingo AMF Serializer fra Exadel, GraniteDS og WebORB for Java fra Midnight Coders.
CERT har endnu ikke hørt fra følgende producenter:
- Exadel
- Granite Data Services
- Hewlett Packard Enterprise
- Midnight Coders
- Pivotal
- SonicWall
- VMware
Anbefaling
Opdater til en rettet version af AMF3-bibliotekerne.
Links
- VU#307983: Action Message Format (AMF3) Java implementations are vulnerable to insecure deserialization and XML external entities references
- AMF – Another Malicious Format, blogindlæg af Markus Wulftange, Code White
- Apache Software Foundation Information for VU#307983
- Adobe Information for VU#307983
- JIRA Security Advisory 2017-03-09: JIRA Server - XXE/Deserialization in JIRA Workflow Designer Plugin
- Flaws in Java AMF Libraries Allow Remote Code Execution, artikel fra SecurityWeek