Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
!!

Jobba på CERT-SE? Nu söker vi en förvaltningsledare IT inom cybersäkerhet med sista ansökningsdag 17 augusti, samt en administrativ stjärna med it-säkerhetskunskap till vår desk med sista ansökningsdag 23 augusti.

Publicerad - Sårbarhet

Kritisk sårbarhet i Apache Commons Collections drabbar bland annat WebSphere, JBoss och WebLogic

Enligt en bloggpost från Fox Glove Security så finns det ett säkerhetsproblem i Apache Commons Collection som ännu inte rättats.

Detaljer

Apache Commons Collection är ett programbibliotek som är skrivet i Java och används av många Java-applikationer som körs på flera vanligt förekommande applikationservrar.

Bristen ligger i hanteringen av serialiserade Java-objekt och kan utnyttjas för att injicera kod - som genom applikationsservern exekveras av operativsystemet på det sårbara systemet. Det sker i så fall med samma privilegier som den utnyttjade Java-applikationen (vanligtvis användaren av webbservern, såsom www-data eller apache) besitter.

För att de skall vara möjligt att utnyttja bristen så måste programbiblioteket finnas i "Java Class Path". Det kan vara gjort under installationen av applikationsservern eller någon tillhörande applikation.

Eftersom sårbarheten nu blivit publikt uppmärksammad och är relativt lätt att utnyttja, finns en risk att den kommer att utnyttjas aktivt på Internet.

För att utnyttja sårbarheten via Internet så krävs det att de portar som applikationerna lyssnar via är åtkomliga.

Eftersom sårbarheten ligger i ett programbibliotek som ofta ingår i Java-applikationer bör en rättad version av Commons Collections komma i en rättad version av applikationsservern.

Påverkade System

Enligt Fox Glove Security är bland annat följande program påverkade:

  • WebSphere Application Server (CVE-2015-1920)
  • JBoss Application Server
  • Jenkins
  • WebLogic Application Server
  • OpenNMS (via RMI)

Rekommendationer

De flesta program accepterar endast serialiserade objekt via management-gränssnitt, vilka vanligtvis lyssnar på portar som endast exponeras mot organisationens interna nätverk vilket innebär att de inte går att nå från Internet.

Det kan vara så att det har missats i konfigurationen så det är av vikt att säkerställa att dessa portar inte är öppna mot Internet.

Nedan är en lista på portar per produkt:

WebSphere:
8880/TCP

JBoss:
8080/TCP (standard) samt att JMXInvokerServlet är åtkomlig.

Jenkis:
TCP-port (varierar men har högt nummer)

WebLogic:
7001/TCP (standard)

OpenNMS:
1099/TCP

För mer information

För WebSphere kan problemet redan vara löst, se IBM Security Bulletin 1883573:
http://www-01.ibm.com/support/docview.wss?uid=swg21883573

Jenkins har ett inlägg om lindring av problemet:
https://jenkins-ci.org/content/mitigating-unauthenticated-remote-code-execution-0-day-jenkins-cli

OpenNMS har också en guide för begränsning (brandväggsregler):
http://www.adventuresinoss.com/2015/11/09/opennms-rmi-exploit/

Apache Software Foundation har löst problemet genom att ta bort “serialiseringsbar” som standard i konfigurationen )nu mer måste det läggas till explicit):
https://issues.apache.org/jira

Information angående serialisering/deserialisering:
http://www.oracle.com/technetwork/java/seccodeguide-139067.html#8
https://speakerdeck.com/frohoff/appseccali-2015-marshalling-pickles-how-deserializing-objects-can-ruin-your-day

Länk till ett bibliotek för att förhindra att deserialisering kan utnyttjas:
https://github.com/ikkisoft/SerialKiller