Zero-Day-Lücke in Java Apache Commons-Collection Bibliothek

Seit dem 06.11.2015 ist eine Zero-Day Lücke in der Apache Commons-Collection Bibliothek bekannt. Diese Lücke erlaubt es serialisierte Java-Objektdaten mit Code zu versehen, der dann aufgrund eines Bugs in der Apache Commons-Collection Bibliothek mit den Berechtigungen der Anwendung ausgeführt wird. Da viele Opensource-Anwendungen Gebrauch von Apache Commons Collections machen und die Lücke über Netzwerk ausgenutzt werden kann, ist sie als kritisch einzustufen.

Betroffene Produkte:

– Jenkins,

– JBoss,

– WebLogic

– WebSphere,

– OpenNMS

… sowie sämtliche Java-Anwendungen, die serialisierte Objektdaten als Datei oder über Netzwerk entgegen nehmen und Apache Commons-Collection nutzen. Auch ein aktiviertes JMX-Profiling der JavaVM mit extern geöffneten TCP-Ports erlaubt es die Lücke zu exploiten, da JMX als Protokoll auf Objektserialisierung aufsetzen.

Zusammenfassung:

http://www.heise.de/newsticker/meldung/Zero-Day-Alarm-fuer-viele-Server-mit-Java-2913605.html

Full Disclosure:

http://foxglovesecurity.com/2015/11/06/what-do-weblogic-websphere-jboss-jenkins-opennms-and-your-application-have-in-common-this-vulnerability/#thevulnerability

Für Jenkins gibt es bereits ein Workaround zur Schließung der Lücke:

https://jenkins-ci.org/content/mitigating-unauthenticated-remote-code-execution-0-day-jenkins-cli

Zero-Day-Lücke in Java Apache Commons-Collection Bibliothek 11. November 2015, 10:48

Kategorien

Archive