Sårbarhet i Java-biblioteket Apache Commons Collection

Publisert: 11.11.2015

Denne sårbarheten omhandler hvordan deserialiserte objekter blir håndtert av Java-biblioteket Apache Commons Collection.

Stephen Breen fra FoxGlove Security har publisert et større blogginnlegg der han beskriver en potensiell alvorlig sårbarhet i Java-applikasjoner som benytter seg av serialiserte objekter og som ikke utfører nødvendig sanitisering, samtidig som de benytter Commons Collection-biblioteket.

Problemet oppstår når man deserialiserer vilkårlige Java-objekter uten å hviteliste hvilke Java-klasser man forventer. En angriper kan dermed sende et spesielt utformet serialiserert objekt til en Java-applikasjon (web server etc.) og få den til å eksekvere vilkårlig kode med applikasjonens rettigheter.

I følge FoxGlove Security er følgende applikasjoner sårbare:

Det er trolig andre applikasjoner utover disse som er sårbare. NSM NorCERT anbefaler at alle som har Java-baserte web-applikasjoner om å sette seg inn i sårbarheten og iverksette nødvendige tiltak.