Zero-Day-Lücke in Java Apache Commons-Collection Bibliothek

Seit dem 06.11.2015 ist eine Zero-Day Lücke in der Apache Commons-Collection Bibliothek bekannt. Diese Lücke erlaubt es serialisierte Java-Objektdaten mit Code zu versehen, der dann aufgrund eines Bugs in der Apache Commons-Collection Bibliothek mit den Berechtigungen der Anwendung ausgeführt wird. Da viele Opensource-Anwendungen Gebrauch von Apache Commons Collections machen und die Lücke über Netzwerk ausgenutzt werden kann, ist sie als kritisch einzustufen.
Betroffene Produkte:
– Jenkins,
– JBoss,
– WebLogic
– WebSphere,
– OpenNMS
… sowie sämtliche Java-Anwendungen, die serialisierte Objektdaten als Datei oder über Netzwerk entgegen nehmen und Apache Commons-Collection nutzen. Auch ein aktiviertes JMX-Profiling der JavaVM mit extern geöffneten TCP-Ports erlaubt es die Lücke zu exploiten, da JMX als Protokoll auf Objektserialisierung aufsetzen.
Zusammenfassung:
 
Full Disclosure:

Kategorien

Archive

--