Javan sarjallistamishaavoittuvuus koskee useita sovelluksia

Useissa Java-sovelluksissa on sarjallistamisen purkuun (deserialization, unserialization) liittyvä haavoittuvuus. Haavoittuvuutta hyödyntämällä on mahdollista suorittaa koodia etänä kohdejärjestelmässä. Yleisiin Apache Commons Collections -kirjastoa käyttäviin sovelluksiin on lisäksi julkaistu hyväksikäyttötapoja.

Sarjallistamista (serialization) käytetään yleisesti Javassa tiedon muuntamiseen binäärimuotoon levylle tallentamista tai verkossa lähettämistä varten. Web-sovelluksissa sarjallistamista voidaan käyttää mm. evästeiden tai HTTP-parameterien välittämisessä.

FoxGlove Security on analysoinut Javan sarjallistamisen purkuun liittyviä haavoittuvuuksia ja julkaissut esimerkkihaittakoodia useille Commons Collection -kirjastoa käyttäville tuotteille, kuten WebSphere, Jboss, Jenkins, WebLogic ja OpenNMS. Haavoittuvuudet liittyvät InvokerTransformer-luokan käyttöön ja ne on julkistettu ensimmäisen kerran jo tammikuussa.

Jos sarjallistamista purettaessa ei tarkisteta annettua syötettä, sopivasti muotoillun syötteen avulla on mahdollista suorittaa koodia kohdejärjestelmässä. Commons Collection on yleinen Java-kirjasto, joten haavoittuvuus koskee useita Java-sovelluksia. Vastaavantyyppisiä haavoittuvuuksia on todennäköisesti myös muissa sovelluksissa, joissa syötettä ei tarkisteta sarjallistamisen purkamisen yhteydessä.

  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
  • Verkon aktiivilaitteet
  • Matkaviestinjärjestelmät
  • Sulautetut järjestelmät
  • Muut

Kohde

  • Palvelimet ja palvelinsovellukset
Lisätietoa +

Hyökkäystapa

  • Etäkäyttö
Lisätietoja hyökkäystavasta +

Hyväksikäyttö

  • Komentojen mielivaltainen suorittaminen
Lisätietoja hyväksikäytöstä +

Ratkaisu

  • Korjaava ohjelmistopäivitys
  • Ongelman rajoittaminen
  • Ei päivitystä
Lisätietoja ratkaisusta +

Haavoittuvat ohjelmistot:

  • Apache Commons -kirjastoa käyttävät Java-ohjelmistot, joissa käytetään sarjallistamista (serialization). Esimerkkihaittakoodi on Commons Collection -versioille 3.x.
  • Yleisesti käytettyjä sovelluksia, joita haavoittuvuus koskee, ovat mm.
    • WebSphere
    • Jboss

Ratkaisu- ja rajoitusmahdollisuudet:

  • Asenna korjaava ohjelmistopäivitys käyttämääsi sovellukseen, jos sellainen on saatavilla.
  • Ongelman voi rajoittaa poistamalla InvokerTransformer-luokan, jos sitä ei käytä.
  • Jos käytät sarjallistamista Java-sovelluksessa, tarkista syötteen sisältö sarjallistamista purkaessa.
  • IBM on julkaissut korjauksen WebSphere -sovelluksiin liittyen. Tarkemmat tiedot päivityksestä löytyvät valmistajan tiedotteesta.


Lisätietoa:



Päivityshistoria

Asiasanat: Tietoturva , Kyberturvallisuus , Haavoittuvuudet

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00561 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248