Japan
サイト内の現在位置を表示しています。
Apache Commons Collections ライブラリのデシリアライズ処理に脆弱性
掲載番号:NV16-002
脆弱性情報識別番号:JVNVU#94276522,VU#576313
概要
Apache Commons Collections (ACC) ライブラリのデシリアライズ処理には脆弱性があります。
Java アプリケーションが ACC ライブラリを直接使用している場合やクラスパス指定でアクセスできる範囲に ACC ライブラリが設置されている場合、任意のコードを実行させられる可能性があります。
対象製品
CapsSuite
影響の有無
対象となる製品のバージョン
- V5.0~V5.1
対処方法
InfoFrame Relational Store
影響の有無
対象となる製品のバージョン
- 全バージョン
対処方法
バージョンアップの詳細につきましては弊社営業にお問合せください。
SystemDirector Enterprise
影響の有無
下記の条件を同時に満たす場合に本脆弱性の影響を受けます。
- 本脆弱性を持つクラスがロードされる環境である
- 直列化したオブジェクトをクライアントから受け取ることができる環境である
対象となる製品のバージョン
- SystemDirector Enterprise for Java Professional Edition(全モデル) V9.1
- SystemDirector Enterprise for Java Express Edition(全モデル) V9.1
対処方法
バージョンアップの詳細につきましては弊社営業にお問い合わせください。
- Apache Commons Collections: 3.2.2 以降
- Spring Framework: 4.2.3 以降
当該OSSのバージョンアップが難しい場合は、以下の回避策をご検討ください。
- シリアライズしたオブジェクトを受け付けるサービス ( RMI *1、JMX *2 など) をインターネットからアクセスできないように制限する。
- 内部ネットワークにおいても信頼できない接続元から(1)のサービスにアクセスできないように制限する。
(*1) Java Remote Method Invocation
https://www.oracle.com/technetwork/java/javase/tech/index-jsp-136424.html
(*2) Java Management Extensions
https://www.oracle.com/technetwork/java/javase/tech/javamanagement-140525.html
WebOTX
影響の有無
WebOTXの運用管理のための通信(運用管理コマンドや統合運用管理ツールから操作する際の通信)でも同様にシリアライズオブジェクトを受け取ることができるため、攻撃による影響を受ける可能性があります。
対象となる製品のバージョン
- WebOTX Web Edition V6.2(6.22.14.00以降)
- WebOTX Standard-J Edition V6.2(6.22.14.00以降)
- WebOTX Standard Edition V6.2(6.22.14.00以降)
- WebOTX Enterprise Edition V6.2(6.22.14.00以降)
- WebOTX Web Edition V6.3(6.31.16.00以降)
- WebOTX Standard-J Edition V6.3(6.31.16.00以降)
- WebOTX Standard Edition V6.3(6.31.16.00以降)
- WebOTX Enterprise Edition V6.3(6.31.16.00以降)
- WebOTX Web Edition V6.4(6.40.04.00以降)
- WebOTX Standard-J Edition V6.4(6.40.04.00以降)
- WebOTX Standard Edition V6.4(6.40.04.00以降)
- WebOTX Enterprise Edition V6.4(6.40.04.00以降)
- WebOTX Application Server Web Edition V7.1(7.11.08.00以降)
- WebOTX Application Server Standard-J Edition V7.1(7.11.08.00以降)
- WebOTX Application Server Standard Edition V7.1(7.11.08.00以降)
- WebOTX Application Server Enterprise Edition V7.1(7.11.08.00以降)
- WebOTX Enterprise Service Bus V7.1(7.11.08.00以降)
- WebOTX Portal V8.3~V8.4
- WebOTX Enterprise Service Bus V9.3
対処方法
- WebOTX Portal V8.3~V8.4向けパッチモジュール
- WebOTX ESB V9.30向けパッチモジュール
上記以外の製品に対するパッチの公開時期は現在検討中です。
パッチの詳細や最新の情報については、下記URLにてご確認ください。
https://www.support.nec.co.jp/View.aspx?id=3010101540
参考情報
Japan Vulnerability Notes JVNVU#94276522
Apache Commons Collections ライブラリのデシリアライズ処理に脆弱性
https://jvn.jp/vu/JVNVU94276522/
CERT/CC Vulnerability Note VU#576313
Apache Commons Collections Java library insecurely deserializes data
https://www.kb.cert.org/vuls/id/576313
更新情報
- 2018/02/05
- 201711/08
- 2017/01/31
- 2016/07/08
- 2016/03/11