Apache Commons Collections Javaライブラリにデータを不安定にデシリアライズする脆弱性を確認

  • 元記事:Arbitrary remote code execution with InvokerTransformer
  • 元記事:Apache Commons Collections Java library insecurely deserializes data
  • HP:Apache Software Foundation
  • 発表日時 2015/11/15

    Apache Commons Collections Javaライブラリにデータを不安定にデシリアライズする脆弱性が確認された。影響を受けるのは Apache Commons Collections library versions 3.2.1と4.0で、Java アプリケーション及びJava ライブラリを使用している場合に影響を受ける。この脆弱性が悪用されると、信頼できないソースからのデータがACC InvokerTransformerクラスを使用してデシリアライズされると、任意のコードを実行される恐れがある。
    現在この脆弱性に関する解決策は確認されていない。軽減策として、Apache Commons Collections version 3.2.2及び4.1が公開されており、機能を無効にすることでこの脆弱性を軽減できる。ただしこれは、修正版公開までの対策で、機能を無効にするだけのものなので、安全にデシリアライズするようアプリケーションを再設計するよう推奨している。また、ファイアウォールやファイルシステムのアクセス制御を使用し、信頼できない相手からのデータをデシリアライズしないよう呼びかけている。