{"id":949,"date":"2015-11-11T10:48:08","date_gmt":"2015-11-11T09:48:08","guid":{"rendered":"https:\/\/info.gwdg.de\/news\/en\/?p=949"},"modified":"2015-11-11T10:48:08","modified_gmt":"2015-11-11T09:48:08","slug":"zero-day-luecke-in-java-apache-commons-collection-bibliothek","status":"publish","type":"post","link":"https:\/\/info.gwdg.de\/news\/zero-day-luecke-in-java-apache-commons-collection-bibliothek\/","title":{"rendered":"Zero-Day-L\u00fccke in Java Apache Commons-Collection Bibliothek"},"content":{"rendered":"
Seit dem 06.11.2015 ist eine Zero-Day L\u00fccke in der Apache Commons-Collection Bibliothek bekannt. Diese L\u00fccke erlaubt es serialisierte Java-Objektdaten mit Code zu versehen, der dann aufgrund eines Bugs in der Apache Commons-Collection Bibliothek mit den Berechtigungen der Anwendung ausgef\u00fchrt wird. Da viele Opensource-Anwendungen Gebrauch von Apache Commons Collections machen und die L\u00fccke \u00fcber Netzwerk ausgenutzt werden kann, ist sie als kritisch einzustufen.<\/div>\n
<\/div>\n
Betroffene Produkte:<\/div>\n
– Jenkins,<\/div>\n
– JBoss,<\/div>\n
\n
– WebLogic<\/div>\n
– WebSphere,<\/div>\n
– OpenNMS<\/div>\n<\/div>\n
<\/div>\n
… sowie s\u00e4mtliche Java-Anwendungen, die serialisierte Objektdaten als Datei oder \u00fcber Netzwerk entgegen nehmen und Apache Commons-Collection nutzen. Auch ein aktiviertes JMX-Profiling der JavaVM mit extern ge\u00f6ffneten TCP-Ports erlaubt es die L\u00fccke zu exploiten, da JMX als Protokoll auf Objektserialisierung aufsetzen.<\/div>\n
<\/div>\n
Zusammenfassung:<\/div>\n
http:\/\/www.heise.de\/newsticker\/meldung\/Zero-Day-Alarm-fuer-viele-Server-mit-Java-2913605.html<\/a>\u00a0<\/span><\/div>\n
\u00a0<\/span><\/div>\n
Full Disclosure:<\/div>\n
\n
http:\/\/foxglovesecurity.com\/2015\/11\/06\/what-do-weblogic-websphere-jboss-jenkins-opennms-and-your-application-have-in-common-this-vulnerability\/#thevulnerability<\/a><\/div>\n
<\/div>\n
F\u00fcr Jenkins gibt es bereits ein Workaround zur Schlie\u00dfung der L\u00fccke:<\/div>\n
https:\/\/jenkins-ci.org\/content\/mitigating-unauthenticated-remote-code-execution-0-day-jenkins-cli<\/a><\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Seit dem 06.11.2015 ist eine Zero-Day L\u00fccke in der Apache Commons-Collection Bibliothek bekannt. Diese L\u00fccke erlaubt es serialisierte Java-Objektdaten mit Code zu versehen, der dann aufgrund eines Bugs in der Apache Commons-Collection Bibliothek mit den Berechtigungen der Anwendung ausgef\u00fchrt wird. Da viele Opensource-Anwendungen Gebrauch von Apache Commons Collections machen und die L\u00fccke \u00fcber Netzwerk ausgenutzt … Weiterlesen<\/a><\/p>\n","protected":false},"author":16,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-949","post","type-post","status-publish","format-standard","hentry","category-sicherheit"],"_links":{"self":[{"href":"https:\/\/info.gwdg.de\/news\/wp-json\/wp\/v2\/posts\/949","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/info.gwdg.de\/news\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/info.gwdg.de\/news\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/info.gwdg.de\/news\/wp-json\/wp\/v2\/users\/16"}],"replies":[{"embeddable":true,"href":"https:\/\/info.gwdg.de\/news\/wp-json\/wp\/v2\/comments?post=949"}],"version-history":[{"count":1,"href":"https:\/\/info.gwdg.de\/news\/wp-json\/wp\/v2\/posts\/949\/revisions"}],"predecessor-version":[{"id":950,"href":"https:\/\/info.gwdg.de\/news\/wp-json\/wp\/v2\/posts\/949\/revisions\/950"}],"wp:attachment":[{"href":"https:\/\/info.gwdg.de\/news\/wp-json\/wp\/v2\/media?parent=949"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/info.gwdg.de\/news\/wp-json\/wp\/v2\/categories?post=949"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/info.gwdg.de\/news\/wp-json\/wp\/v2\/tags?post=949"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}