В середине ноября 2015 года специалисты компании FoxGlove Security выявили опасный баг в широко распространенной библиотеке, из состава Apache Commons. Теперь компания SourceClear сообщает, что данная уязвимость затрагивает не одну библиотеку, а более 40.
По данным исследования компании SourceClear, многие библиотеки, в числе которых Apache Directory API, JMS Transport и некоторые версии Webx All-in-one Bundle, подвержены аналогичной обнаруженной в ноябре проблеме.
Ранее, основываясь на исследовании, представленном сотрудниками компании Qualcomm, специалисты FoxGlove Security продемонстрировали, что хакеры с легкостью могут воспользоваться уязвимостью для атак на Java серверы приложений, а также на любые другие продукты, в которых используется коллекция Apache Commons (в том числе Oracle WebLogic, IBM WebSphere, Red Hat’s JBoss, Jenkins и OpenNMS).
Проблема заключается в том, как Java исполняет user-defined код во время десериализации объектов. Опираясь на это, исследователи FoxGlove Security сумели создать пейлоуды, с помощью которых получили shell-доступ к машинам, на которых работали уязвимые продукты.
«Это очень неприятная уязвимость, потому что это не брешь в самой Java, но баг, которому подвержены широко распространенные библиотеки, — пишет Иоганесс Ульрих (Johannes Ullrich), технический директор SANS Institute Internet Storm Center. — Провести инвентаризацию этих библиотек, которые используются в различных продуктах, крайне трудно».
Специалистам SourceClear удалось выявить баг в нижеперечисленных библиотеках. Компания советует всем разработчикам внимательно проверить свой код и библиотеки на предмет проблемы с десериализацией.
| Имя | Версия |
| · Apache Directory API All | · 1.0.0-M31 |
| · Apache Directory API All | · 1.0.0-M32 |
| · Apache Jena - Fuseki Server Standalone Jar | · 2.0.0 |
| · Apache Jena - Fuseki Server Standalone Jar | · 2.3.0 |
| · flink-core | · 0.9.0-hadoop1 |
| · flink-core | · 0.9.0 |
| · flink-shaded-include-yarn | · 0.9.0 |
| · flink-shaded-include-yarn | · 0.9.0-milestone-1 |
| · jcaptcha-all | · 1.0-RC6 |
| · jcaptcha-all | · 1.0-RC5 |
| · Mule Core | · 2.1.0 |
| · Mule Core | · 2.1.2 |
| · JMS Transport | · 3.0.0-M2-20091124 |
| · JMS Transport | · 3.3-M1 |
| · Spring XD DIRT | · 1.0.3.RELEASE |
| · Spring XD DIRT | · 1.0.4.RELEASE |
| · Webx All-in-one Bundle | · 3.2.3 |
| · Webx All-in-one Bundle | · 3.0.14 |
| · hadoop-mapreduce-client-core | · 2.6.2 |
| · hadoop-mapreduce-client-core | · 2.6.0 |
| · Commons BeanUtils Core | · 1.8.3 |
| · Commons BeanUtils Core | · 1.8.2 |
| · Apache Hadoop Common | · 2.6.2 |
| · Apache Hadoop Common | · 2.5.2 |
| · Commons Collections | · 20031027 |
| · Commons Collections | · 3.2.1 |
| · OpenJPA Utilities Library | · 2.3.0 |
| · OpenJPA Utilities Library | · 2.2.2 |
| · OpenJPA Kernel | · 2.3.0 |
| · OpenJPA Kernel | · 2.2.2 |
| · OpenJPA Persistence | · 1.2.3 |
| · JasperReports | · 6.2.0 |
| · JasperReports | · 6.0.2 |
| · Isis MetaModel | · 1.0.0 |
| · Isis MetaModel | · 1.1.0 |
| · AutoValue | · 1 |
| · AutoValue | · 1.0-rc4 |
| · Core | · 1.6.2 |
| · Core | · 1.6.1 |
| · velocity:velocity-dep | · 1.5-beta2 |
| · Apache Commons Collections | · 4 |
| · HBase - Common | · 0.98.9-hadoop1 |
| · HBase - Common | · 0.98.7-hadoop1 |
| · Apache Directory Shared LDAP | · 0.9.11 |
| · org.springframework:spring | · 2.5.6.SEC03 |
| · org.springframework:spring | · 2.5.6.SEC02 |
| · Apache MyFaces JSF-2.2 Core Impl | · 1.2.5 |
| · Apache MyFaces JSF-2.2 Core Impl | · 2.2.7 |
| · jung-visualization | · 2.0.1 |
| · jung-visualization | · 2 |
| · HBase - Server | · 0.98.10.1-hadoop2 |
| · HBase - Server | · 0.98.7-hadoop2 |
| · org.apache.pig pig | · 0.15.0 |
| · com.google.gwt gwt-dev | · 2.7.0 |
| · larvalabs collections | · 4.01 |
| · org.opensymphony.quartz quartz | · 1.6.1 |
| · Apache Commons BeanUtils | · 1.9.2 |
| · Apache Commons BeanUtils | · 1.9.1 |
| · Apache Crunch Core | · 0.13.0 |
| · JasperReports | · 3.5.2 |
| · JasperReports | · 3.5.1 |
| · ApacheDS MVCC BTree implementation | · 1.0.0-M7 |
| · ApacheDS All | · 2.0.0-M18 |
| · ApacheDS All | · 2.0.0-M17 |
| · ESAPI | · 2.1.0 |
| · ESAPI | · 2.0.1 |
| · OpenJPA Aggregate Jar | · 2.3.0 |
| · OpenJPA Aggregate Jar | · 2.2.2 |
| · quartz | · 1.6.3 |
| · quartz | · 1.6.0 |
