Zero-Day-Lücke in Javas Apache Commons-Collection Bibliothek
Seit dem 6. November dieses Jahres ist eine Zero-Day Lücke in der Apache Commons-Collection Bibliothek bekannt. Diese Lücke erlaubt es serialisierte Java-Objektdaten mit Code zu versehen, der dann aufgrund eines Bugs in der Apache Commons-Collection Bibliothek mit den Berechtigungen der Anwendung ausgeführt wird. Da viele Opensource-Anwendungen Gebrauch von Apache Commons Collections machen und die Lücke über Netzwerk ausgenutzt werden kann, ist sie als kritisch einzustufen.
Betroffene Produkte sind Jenkins, JBoss, WebLogic, WebSphere, OpenNMS sowie sämtliche Java-Anwendungen, die serialisierte Objektdaten als Datei oder über Netzwerk entgegen nehmen und Apache Commons-Collection nutzen. Auch ein aktiviertes JMX-Profiling der JavaVM mit extern geöffneten TCP-Ports erlaubt es die Lücke zu exploiten, da JMX als Protokoll auf Objektserialisierung aufsetzen.
Für Jenkins gibt es bereits einen Workaround zur Schließung der Lücke.
Über …
Der Schockwellenreiter ist seit dem 24. April 2000 das Weblog digitale Kritzelheft von Jörg Kantel (Neuköllner, EDV-Leiter, Autor, Netzaktivist und Hundesportler — Reihenfolge rein zufällig). Hier steht, was mir gefällt. Wem es nicht gefällt, der braucht ja nicht mitzulesen. Wer aber mitliest, ist herzlich willkommen und eingeladen, mitzudiskutieren!
Alle eigenen Inhalte des Schockwellenreiters stehen unter einer Creative-Commons-Lizenz, jedoch können fremde Inhalte (speziell Videos, Photos und sonstige Bilder) unter einer anderen Lizenz stehen.
Der Besuch dieser Webseite wird aktuell von der Piwik Webanalyse erfaßt. Hier können Sie der Erfassung widersprechen.
Diese Seite verwendet keine Cookies. Warum auch? Was allerdings die iframes von Amazon, YouTube und Co. machen, entzieht sich meiner Kenntnis.
Werbung
Werbung
