サイト内の現在位置を表示しています。

Apache Commons Collections ライブラリのデシリアライズ処理に脆弱性

掲載番号:NV16-002
脆弱性情報識別番号:JVNVU#94276522,VU#576313

概要

Apache Commons Collections (ACC) ライブラリのデシリアライズ処理には脆弱性があります。
Java アプリケーションが ACC ライブラリを直接使用している場合やクラスパス指定でアクセスできる範囲に ACC ライブラリが設置されている場合、任意のコードを実行させられる可能性があります。

対象製品

CapsSuite

影響の有無

影響あり

対象となる製品のバージョン

  • V5.0~V5.1

対処方法

[対策]
詳細につきましては、弊社営業までお問い合わせください。

InfoFrame Relational Store

影響の有無

影響あり

対象となる製品のバージョン

  • 全バージョン

 

対処方法

[対策]
V3.2.7 にて対処済みです。
バージョンアップの詳細につきましては弊社営業にお問合せください。

SystemDirector Enterprise

影響の有無

影響あり

下記の条件を同時に満たす場合に本脆弱性の影響を受けます。
  • 本脆弱性を持つクラスがロードされる環境である
  • 直列化したオブジェクトをクライアントから受け取ることができる環境である

 

対象となる製品のバージョン

  • SystemDirector Enterprise for Java Professional Edition(全モデル) V9.1
  • SystemDirector Enterprise for Java Express Edition(全モデル) V9.1

 

対処方法

[対策]
SystemDirector Enterprise for Java V9.2 以降にバージョンアップしてください。
バージョンアップの詳細につきましては弊社営業にお問い合わせください。

[回避策]
当該OSSを、本脆弱性対応済バージョンにアップデートしてください。
  • Apache Commons Collections: 3.2.2 以降
  • Spring Framework: 4.2.3 以降

当該OSSのバージョンアップが難しい場合は、以下の回避策をご検討ください。
  • シリアライズしたオブジェクトを受け付けるサービス ( RMI *1、JMX *2 など) をインターネットからアクセスできないように制限する。
  • 内部ネットワークにおいても信頼できない接続元から(1)のサービスにアクセスできないように制限する。

(*1) Java Remote Method Invocation
https://www.oracle.com/technetwork/java/javase/tech/index-jsp-136424.html

(*2) Java Management Extensions
https://www.oracle.com/technetwork/java/javase/tech/javamanagement-140525.html

WebOTX

影響の有無

影響あり

WebOTXの運用管理のための通信(運用管理コマンドや統合運用管理ツールから操作する際の通信)でも同様にシリアライズオブジェクトを受け取ることができるため、攻撃による影響を受ける可能性があります。

対象となる製品のバージョン

  • WebOTX Web Edition V6.2(6.22.14.00以降)
  • WebOTX Standard-J Edition V6.2(6.22.14.00以降)
  • WebOTX Standard Edition V6.2(6.22.14.00以降)
  • WebOTX Enterprise Edition V6.2(6.22.14.00以降)
  • WebOTX Web Edition V6.3(6.31.16.00以降)
  • WebOTX Standard-J Edition V6.3(6.31.16.00以降)
  • WebOTX Standard Edition V6.3(6.31.16.00以降)
  • WebOTX Enterprise Edition V6.3(6.31.16.00以降)
  • WebOTX Web Edition V6.4(6.40.04.00以降)
  • WebOTX Standard-J Edition V6.4(6.40.04.00以降)
  • WebOTX Standard Edition V6.4(6.40.04.00以降)
  • WebOTX Enterprise Edition V6.4(6.40.04.00以降)
  • WebOTX Application Server Web Edition V7.1(7.11.08.00以降)
  • WebOTX Application Server Standard-J Edition V7.1(7.11.08.00以降)
  • WebOTX Application Server Standard Edition V7.1(7.11.08.00以降)
  • WebOTX Application Server Enterprise Edition V7.1(7.11.08.00以降)
  • WebOTX Enterprise Service Bus V7.1(7.11.08.00以降)
  • WebOTX Portal V8.3~V8.4
  • WebOTX Enterprise Service Bus V9.3

 

対処方法

[対策]
脆弱性問題を改修したApache Commons Collectionsライブラリを組み込んだWebOTXのパッチを提供しています。
  • WebOTX Portal V8.3~V8.4向けパッチモジュール
  • WebOTX ESB V9.30向けパッチモジュール

上記以外の製品に対するパッチの公開時期は現在検討中です。
パッチの詳細や最新の情報については、下記URLにてご確認ください。
https://www.support.nec.co.jp/View.aspx?id=3010101540

参考情報

Japan Vulnerability Notes JVNVU#94276522
Apache Commons Collections ライブラリのデシリアライズ処理に脆弱性
https://jvn.jp/vu/JVNVU94276522/

CERT/CC Vulnerability Note VU#576313
Apache Commons Collections Java library insecurely deserializes data
https://www.kb.cert.org/vuls/id/576313

更新情報