Please note that JavaScript and style sheet are used in this website,
Due to unadaptability of the style sheet with the browser used in your computer, pages may not look as original.
Even in such a case, however, the contents can be used safely.

Apache Commons Collections ライブラリのデシリアライズ処理に脆弱性

掲載番号:NV16-002
脆弱性情報識別番号:JVNVU#94276522,VU#576313

概要

Apache Commons Collections (ACC) ライブラリのデシリアライズ処理には脆弱性があります。
Java アプリケーションが ACC ライブラリを直接使用している場合やクラスパス指定でアクセスできる範囲に ACC ライブラリが設置されている場合、任意のコードを実行させられる可能性があります。

対象製品

CapsSuite

影響の有無

影響あり

対象となる製品のバージョン

  • V5.0~V5.1

対処方法

[対策]
詳細につきましては、弊社営業までお問い合わせください。

WebOTX

影響の有無

影響あり

WebOTXの運用管理のための通信(運用管理コマンドや統合運用管理ツールから操作する際の通信)でも同様にシリアライズオブジェクトを受け取ることができるため、攻撃による影響を受ける可能性があります。

対象となる製品のバージョン

  • WebOTX Web Edition V6.2(6.22.14.00以降)
  • WebOTX Standard-J Edition V6.2(6.22.14.00以降)
  • WebOTX Standard Edition V6.2(6.22.14.00以降)
  • WebOTX Enterprise Edition V6.2(6.22.14.00以降)
  • WebOTX Web Edition V6.3(6.31.16.00以降)
  • WebOTX Standard-J Edition V6.3(6.31.16.00以降)
  • WebOTX Standard Edition V6.3(6.31.16.00以降)
  • WebOTX Enterprise Edition V6.3(6.31.16.00以降)
  • WebOTX Web Edition V6.4(6.40.04.00以降)
  • WebOTX Standard-J Edition V6.4(6.40.04.00以降)
  • WebOTX Standard Edition V6.4(6.40.04.00以降)
  • WebOTX Enterprise Edition V6.4(6.40.04.00以降)
  • WebOTX Application Server Web Edition V7.1(7.11.08.00以降)
  • WebOTX Application Server Standard-J Edition V7.1(7.11.08.00以降)
  • WebOTX Application Server Standard Edition V7.1(7.11.08.00以降)
  • WebOTX Application Server Enterprise Edition V7.1(7.11.08.00以降)
  • WebOTX Enterprise Service Bus V7.1(7.11.08.00以降)
  • WebOTX Portal V8.3~V8.4
  • WebOTX Enterprise Service Bus V9.3

 

対処方法

[対策]
脆弱性問題を改修したApache Commons Collectionsライブラリを組み込んだWebOTXのパッチを提供しています。
  • WebOTX Portal V8.3~V8.4向けパッチモジュール
  • WebOTX ESB V9.30向けパッチモジュール

上記以外の製品に対するパッチの公開時期は現在検討中です。
パッチの詳細や最新の情報については、下記URLにてご確認ください。
https://www.support.nec.co.jp/View.aspx?id=3010101540

参考情報

Japan Vulnerability Notes JVNVU#94276522
Apache Commons Collections ライブラリのデシリアライズ処理に脆弱性
http://jvn.jp/vu/JVNVU94276522/

CERT/CC Vulnerability Note VU#576313
Apache Commons Collections Java library insecurely deserializes data
https://www.kb.cert.org/vuls/id/576313

更新情報

2017/01/31
WebOTX を更新しました。
2016/07/08
CapsSuiteを登録しました。
2016/03/11
WebOTXを登録しました。