編集部からのお知らせ
解説:広がるエッジAIの動向
Check! ディープラーニングを振り返る

Javaライブラリにリモートコード実行の脆弱性--JBoss、WebSphere、WebLogicなどに影響

Chris Duckett (Special to CNET News) 翻訳校正: 編集部

2015-11-10 10:39

 広く使われているApache Commonsライブラリに存在する、遠隔からコードを実行できる脆弱性を利用して「JBoss」「WebSphere」「WebLogic」のエクスプロイトに成功したと、Foxglove Securityの研究者が報告している。Javaがオブジェクトを逆シリアル化するための安全ではないメソッドを突くものだという。

 FoxgloveのSteve Breen氏はブログで、この脆弱性は9カ月以上前から存在が分かっていると報告した。Javaアプリケーションは共有ライブラリではなく、各アプリケーションで依存するライブラリをバンドルするという方法をとる。そのため、この脆弱性の影響はしばらく残りそうだという。

 「各アプリケーションサーバはそれぞれ独自にライブラリをバンドルしている。さらに、サーバ上で実装する各アプリケーションも独自のライブラリセットを持っていることが多い」「この状態を完全に修正するには、各ライブラリを個別に探して更新するしかない」とBreen氏は述べている。

 Breen氏によると、Javaがオブジェクトを逆シリアル化する際にユーザー定義のコードを実行する方法に依存して、カスタムのペイロードを作成してWebLogic、WebSphere、JBoss、Jenkins、OpenNMSがそれぞれ動くマシン、それにJava Remote Method Invocationを使う任意のマシン上でアクセス権を獲得できたという。

 Breen氏がブログを公開した時点では上記のすべての製品が脆弱だったが、その後ApacheとJenkinsはコードにパッチを当てるための対策をとっている。

 Jenkinsの開発チームは、攻撃に使われるJenkins CLIシステムを無効にする回避策を公開し、パッチを11月11日にリリースする予定だ。

 「脆弱性を公開する前に脆弱性情報を提供してもらえなかったことは残念だ。われわれは現在も修正のための作業を行っているところだ」とJenkinsの開発チームは記している。

 OpenNMSのJeff Gehlbach氏も同じような意見をツイートで発しており、Breen氏はゼロデイ脆弱性を公開する前に関係のあるプロジェクトに通知すべきだったとしている。Breen氏はこれに対し、この脆弱性はゼロデイではないとの見解を示した。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]