広く使われているApache Commonsライブラリに存在する、遠隔からコードを実行できる脆弱性を利用して「JBoss」「WebSphere」「WebLogic」のエクスプロイトに成功したと、Foxglove Securityの研究者が報告している。Javaがオブジェクトを逆シリアル化するための安全ではないメソッドを突くものだという。
FoxgloveのSteve Breen氏はブログで、この脆弱性は9カ月以上前から存在が分かっていると報告した。Javaアプリケーションは共有ライブラリではなく、各アプリケーションで依存するライブラリをバンドルするという方法をとる。そのため、この脆弱性の影響はしばらく残りそうだという。
- TechRepublic Japan関連記事
- 世界の情報セキュリティ支出--2015年は754億ドル、4.7%増
- 世界セキュリティアプライアンス市場の成長続く--第2四半期は12%増
「各アプリケーションサーバはそれぞれ独自にライブラリをバンドルしている。さらに、サーバ上で実装する各アプリケーションも独自のライブラリセットを持っていることが多い」「この状態を完全に修正するには、各ライブラリを個別に探して更新するしかない」とBreen氏は述べている。
Breen氏によると、Javaがオブジェクトを逆シリアル化する際にユーザー定義のコードを実行する方法に依存して、カスタムのペイロードを作成してWebLogic、WebSphere、JBoss、Jenkins、OpenNMSがそれぞれ動くマシン、それにJava Remote Method Invocationを使う任意のマシン上でアクセス権を獲得できたという。
Breen氏がブログを公開した時点では上記のすべての製品が脆弱だったが、その後ApacheとJenkinsはコードにパッチを当てるための対策をとっている。
Jenkinsの開発チームは、攻撃に使われるJenkins CLIシステムを無効にする回避策を公開し、パッチを11月11日にリリースする予定だ。
「脆弱性を公開する前に脆弱性情報を提供してもらえなかったことは残念だ。われわれは現在も修正のための作業を行っているところだ」とJenkinsの開発チームは記している。
OpenNMSのJeff Gehlbach氏も同じような意見をツイートで発しており、Breen氏はゼロデイ脆弱性を公開する前に関係のあるプロジェクトに通知すべきだったとしている。Breen氏はこれに対し、この脆弱性はゼロデイではないとの見解を示した。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
