L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

avis de menace CVE-2015-4852 CVE-2015-6420 CVE-2015-6934

Apache Commons Collections : exécution de code via InvokerTransformer

Synthèse de la vulnérabilité

Un attaquant peut envoyer un objet Gadget Chain sérialisé malveillant vers une application Java utilisant Apache Commons Collections, afin d'exécuter du code shell.
Gravité de cette faille : 3/4.
Nombre de vulnérabilités dans ce bulletin : 12.
Date création : 12/11/2015.
Références de ce bulletin : 1119363, 1610582, 1970575, 1971370, 1971531, 1971533, 1971751, 1972261, 1972373, 1972565, 1972794, 1972839, 2011281, 7014463, 7022958, 9010052, BSA-2016-004, bulletinjul2016, c04953244, c05050545, c05206507, c05325823, c05327447, CERTFR-2015-AVI-484, CERTFR-2015-AVI-555, cisco-sa-20151209-java-deserialization, COLLECTIONS-580, cpuapr2017, cpuapr2018, cpujan2017, cpujan2018, cpujul2017, cpuoct2016, cpuoct2017, cpuoct2018, CVE-2015-4852, CVE-2015-6420, CVE-2015-6934, CVE-2015-7420-ERROR, CVE-2015-7450, CVE-2015-7501, CVE-2015-8545, CVE-2015-8765, CVE-2016-1985, CVE-2016-1997, CVE-2016-4373, CVE-2016-4398, DSA-3403-1, HPSBGN03542, HPSBGN03560, HPSBGN03630, HPSBGN03656, HPSBGN03670, JSA10838, NTAP-20151123-0001, RHSA-2015:2500-01, RHSA-2015:2501-01, RHSA-2015:2502-01, RHSA-2015:2516-01, RHSA-2015:2517-01, RHSA-2015:2521-01, RHSA-2015:2522-01, RHSA-2015:2523-01, RHSA-2015:2524-01, RHSA-2015:2534-01, RHSA-2015:2535-01, RHSA-2015:2536-01, RHSA-2015:2537-01, RHSA-2015:2538-01, RHSA-2015:2539-01, RHSA-2015:2540-01, RHSA-2015:2541-01, RHSA-2015:2542-01, RHSA-2015:2547-01, RHSA-2015:2548-01, RHSA-2015:2556-01, RHSA-2015:2557-01, RHSA-2015:2559-01, RHSA-2015:2560-01, RHSA-2015:2578-01, RHSA-2015:2579-01, RHSA-2015:2670-01, RHSA-2015:2671-01, RHSA-2016:0040-01, RHSA-2016:0118-01, SA110, SB10144, SOL30518307, VIGILANCE-VUL-18294, VMSA-2015-0009, VMSA-2015-0009.1, VMSA-2015-0009.2, VMSA-2015-0009.3, VMSA-2015-0009.4, VU#576313.
Bulletin Vigil@nce complet... (Essai gratuit)

Description de la vulnérabilité

La bibliothèque Apache Commons Collections est utilisée par de nombreuses applications Java.

Un objet Java Gadgets ("gadget chains") peut contenir des Transformers, avec une chaîne "exec" contenant une commande shell qui est exécutée avec la méthode Java.lang.Runtime.exec(). Lorsque des données brutes sont désérialisées, la méthode readObject() est donc appelée pour reconstruire l'objet Gadgets, et elle utilise InvokerTransformer, qui exécute la commande shell indiquée.

On peut noter que d'autres classes (CloneTransformer, ForClosure, InstantiateFactory, InstantiateTransformer, PrototypeCloneFactory, PrototypeSerializationFactory, WhileClosure) exécutent aussi une commande shell à partir de données brutes à désérialiser.

Cependant, plusieurs applications exposent publiquement (avant authentification) la fonctionnalité de désérialisation Java.

Un attaquant peut donc envoyer un objet Gadget Chain sérialisé malveillant vers une application Java utilisant Apache Commons Collections, afin d'exécuter du code shell.
Bulletin Vigil@nce complet... (Essai gratuit)

Cette alerte de vulnérabilité concerne les logiciels ou systèmes comme CAS Server, Blue Coat CAS, SGOS par Blue Coat, Brocade Network Advisor, Brocade vTM, ASA, AsyncOS, Cisco ESA, Cisco Prime Access Registrar, Prime Infrastructure, Cisco Prime LMS, Cisco PRSM, Secure ACS, Cisco CUCM, Cisco Unified CCX, Cisco MeetingPlace, Unity Cisco, Debian, BIG-IP Hardware, TMOS, HPE BSM, HPE NNMi, HP Operations, DB2 UDB, Domino, Notes, IRAD, Rational ClearCase, QRadar SIEM, SPSS Modeler, Tivoli Storage Manager, Tivoli Workload Scheduler, WebSphere AS Traditional, JBoss AS OpenSource, Junos Space, ePO, Mule ESB, Snap Creator Framework, SnapManager, Oracle Communications, Oracle Directory Server, Oracle Directory Services Plus, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Identity Management, Oracle iPlanet Web Proxy Server, Oracle iPlanet Web Server, Oracle OIT, Solaris, Tuxedo, Oracle Virtual Directory, WebLogic, Oracle Web Tier, RHEL, JBoss EAP par Red Hat, SAS Add-in for Microsoft Office, SAS Analytics Pro, Base SAS Software, SAS Enterprise BI Server, SAS Enterprise Guide, SAS Management Console, SAS OLAP Server, SAS SAS/ACCESS, SAS SAS/AF, SAS SAS/CONNECT, SAS SAS/EIS, SAS SAS/ETS, SAS SAS/FSP, SAS SAS/GRAPH, SAS SAS/IML, SAS SAS/OR, SAS SAS/STAT, SAS SAS/Web Report Studio, Unix (plateforme) ~ non exhaustif, vCenter Server.

Notre équipe Vigil@nce a déterminé que la gravité de cette menace est important.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de document.

Ce bulletin concerne 12 vulnérabilités.

Un démonstrateur ou un outil d'attaque est disponible, donc vos équipes doivent traiter cette alerte. Un attaquant avec un niveau de compétence technicien peut exploiter ce bulletin cyber-sécurité.

Solutions pour cette menace

Apache Commons Collections : version 4.1.
La version 4.1 est corrigée :
  http://commons.apache.org/proper/commons-collections/download_collections.cgi

Apache Commons Collections : version 3.2.2.
La version 3.2.2 est corrigée :
  http://commons.apache.org/proper/commons-collections/download_collections.cgi
La désérialisation est désactivée par défaut dans la version 3.2.2, ce qui peut impacter le fonctionnement de certaines applications. Si la désérialisation est nécessaire, il est recommandé de modifier l'application selon VIGILANCE-SOL-43567.

Apache Commons Collections : patch pour InvokerTransformer.
Un patch est indiqué dans les sources d'information.
Ce patch ne corrige que la classe InvokerTransformer. Pour corriger les autres classes, utiliser VIGILANCE-SOL-43555.

Apache Commons Collections : filtrage de la désérialisation.
Si l'application Java a besoin de désérialiser des données de provenance non sûre, alors il faut implémenter un mécanisme de filtrage (ObjectInputStream + resolveClass + whitelist) :
  http://www.ibm.com/developerworks/library/se-lookahead/
Il est aussi recommandé de suivre :
  https://www.securecoding.cert.org/confluence/pages/viewpage.action?pageId=27492407

Apereo CAS : solution pour Java Deserialization.
La solution est indiquée dans les sources d'information.

Brocade : solution pour multiples vulnérabilités (04/04/2016).
Les versions suivantes corrigent plusieurs vulnérabilités (mais pas CVE-2016-0705) :
  Brocade Network Advisor : installer version 12.4.2 ou 14.0.1.
  Brocade vTM : installer version 9.9r1 ou 10.3r1.
La solution détaillée est indiquée dans les sources d'information.

Cisco : solution pour Java Deserialization.
La solution est indiquée dans les sources d'information.

Debian : nouveaux paquetages libcommons-collections3-java.
De nouveaux paquetages sont disponibles :
  Debian 7 : libcommons-collections3-java 3.2.1-5+deb7u1
  Debian 8 : libcommons-collections3-java 3.2.1-7+deb8u1

F5 BIG-IP : versions corrigées pour commons-collections.
Les versions corrigées sont indiquées dans les sources d'information.

HPE Business Service Management : version 9.26IP1.
La version 9.26IP1 est corrigée :
  https://softwaresupport.hpe.com/group/softwaresupport/search-result/-/facetsearch/document/KM02555035

HPE Network Node Manager i : versions corrigées.
Les versions corrigées sont indiquées dans les sources d'information.

HPE Operations : patch pour InvokerTransformer.
Un patch est disponible :
  https://softwaresupport.hp.com/group/softwaresupport/search-result/-/facetsearch/document/KM02058067

HP Operations Manager : version 9.21.130.
La version 9.21.130 est corrigée :
  https://softwaresupport.hpe.com/group/softwaresupport/search-result/-/facetsearch/document/KM322544?lang=en&cc=us&hpappid=202392_SSO_PRO_HPE

HP Operations Orchestration : version 10.51.
La version 10.51 est corrigée :
  http://support.openview.hp.com/selfsolve/document/LID/OO_00037

IBM DB2 : version 10.1 Fix Pack 6.
La version 10.1 Fix Pack 6 est corrigée.

IBM Domino, Notes : patch pour Java Deserialization.
Un patch est indiqué dans les sources d'information.

IBM QRadar SIEM : patch pour Apache Commons Collection.
Un patch est indiqué dans les sources d'information.

IBM Rational Application Developer : patch pour Java Deserialization.
Un patch est indiqué dans les sources d'information.

IBM Rational ClearCase : solution pour WebSphere AS.
La solution est indiquée dans les sources d'information.

IBM SPSS Modeler : patch pour Java Deserialization.
Un patch est indiqué dans les sources d'information.

IBM Tivoli Storage Manager : patch pour Java Deserialization.
Un patch est indiqué dans les sources d'information.

IBM Tivoli Workload Scheduler : patch pour Java Deserialization.
Un patch est indiqué dans les sources d'information.

Junos Space : versions corrigées.
Les versions corrigées sont indiquées dans les sources d'information.

McAfee ePO : patch pour Java Deserialization.
Un patch est indiqué dans les sources d'information.

Mule ESB : version 3.5.4.
La version 3.5.4 est corrigée :
  https://www.mulesoft.com/

Mule ESB : version 3.7.3.
La version 3.7.3 est corrigée :
  https://www.mulesoft.com/

NetApp Snap Creator Framework, SnapManager : patch pour Java Deserialization.
Un patch est disponible :
  Snap Creator Framework : https://mysupport.netapp.com/NOW/download/software/snapcreator_framework/4.3P1/
  SnapManager for Oracle : https://mysupport.netapp.com/NOW/cgi-bin/bol?Type=Detail&Display=967068
  SnapManager for SAP : https://mysupport.netapp.com/NOW/cgi-bin/bol?Type=Detail&Display=967069

NetIQ Sentinel : version 7.4 SP1.
La version 7.4 SP1 est corrigée :
  https://download.novell.com/Download?buildid=ZEMvbiAk5k8~

Oracle Communications : CPU de janvier 2017.
Un Critical Patch Update est disponible :
  https://support.oracle.com/rs?type=doc&id=2213301.1
  https://support.oracle.com/rs?type=doc&id=2213291.1
  https://support.oracle.com/rs?type=doc&id=2213292.1

Oracle Communications : CPU de juillet 2017.
Un Critical Patch Update est disponible.

Oracle Communications : CPU de octobre 2017.
Un Critical Patch Update est disponible.

Oracle Communications : CPU de octobre 2018.
Un Critical Patch Update est disponible :
  https://support.oracle.com/rs?type=doc&id=2451363.1
  https://support.oracle.com/rs?type=doc&id=2450339.1
  https://support.oracle.com/rs?type=doc&id=2450354.1
  https://support.oracle.com/rs?type=doc&id=2450340.1
  https://support.oracle.com/rs?type=doc&id=2452772.1
  https://support.oracle.com/rs?type=doc&id=2451007.1

Oracle Fusion Middleware : CPU de avril 2017.
Un Critical Patch Update est disponible :
  https://support.oracle.com/rs?type=doc&id=2228898.1

Oracle Fusion Middleware : CPU de avril 2018.
Un Critical Patch Update est disponible :
  https://support.oracle.com/rs?type=doc&id=2353306.1

Oracle Fusion Middleware : CPU de janvier 2018.
Un Critical Patch Update est disponible :
  https://support.oracle.com/rs?type=doc&id=2325393.1

Oracle Fusion Middleware : CPU de juillet 2017.
Un Critical Patch Update est disponible :
  https://support.oracle.com/rs?type=doc&id=2261562.1

Oracle Fusion Middleware : CPU de octobre 2016.
Un Critical Patch Update est disponible :
  https://support.oracle.com/rs?type=doc&id=2171485.1

Oracle Fusion Middleware : CPU de octobre 2017.
Un Critical Patch Update est disponible :
  https://support.oracle.com/rs?type=doc&id=2296870.1

Oracle WebLogic Server : contre-mesure pour Java Deserialization.
Une contre-mesure est indiquée dans :
  https://support.oracle.com/rs?type=doc&id=2076338.1

Red Hat JBoss A-MQ : version 6.2.1.
La version 6.2.1 est corrigée :
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=jboss.amq&downloadType=distributions&version=6.2.1

Red Hat JBoss BPM Suite : version 6.2.0.
La version 6.2.0 est corrigée :
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=bpm.suite&downloadType=distributions&version=6.2.0

Red Hat JBoss BRMS : version 6.2.0.
La version 6.2.0 est corrigée :
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=brms&downloadType=distributions&version=6.2.0

Red Hat JBoss EAP : version 6.4.5.
La version 6.4.5 est corrigée.

Red Hat JBoss Fuse : version 6.2.1.
La version 6.2.1 est corrigée :
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=jboss.fuse&downloadType=distributions&version=6.2.1

Red Hat JBoss Operations Network : version 3.1.2 Hotfix 11.
La version 3.1.2 Hotfix 11 est corrigée :
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=em&downloadType=securityPatches&version=3.1.2

Red Hat JBoss Operations Network : version 3.3.5.
La version 3.3.5 est corrigée :
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=em&downloadType=securityPatches&version=3.3

Red Hat JBoss : solution pour Commons Collections.
La solution est indiquée dans les sources d'information.

RHEL 5 : nouveaux paquetages jakarta-commons-collections.
De nouveaux paquetages sont disponibles :
  RHEL 5 : jakarta-commons-collections 3.2-2jpp.4

RHEL 6.7 : nouveaux paquetages jakarta-commons-collections.
De nouveaux paquetages sont disponibles :
  RHEL 6 : jakarta-commons-collections 3.2.1-3.5.el6_7

RHEL 7.2 : nouveaux paquetages apache-commons-collections.
De nouveaux paquetages sont disponibles :
  RHEL 7 : apache-commons-collections 3.2.1-22.el7_2

RHEL : nouveaux paquetages rh-java-common-apache-commons-collections.
De nouveaux paquetages sont disponibles :
  RHEL 6 : rh-java-common-apache-commons-collections 3.2.1-21.13.el6
  RHEL 7 : rh-java-common-apache-commons-collections 3.2.1-21.13.el7

SAS : solution pour Java Deserialization.
La solution est indiquée dans les sources d'information.

Solaris : patch pour logiciels tiers de juillet 2016 v1.
Un patch est disponible :
  https://support.oracle.com/rs?type=doc&id=1448883.1

VMware vCenter : solution pour Java Deserialization.
La solution est indiquée dans les sources d'information.

WebSphere AS : patch pour Java Deserialization.
Un patch est indiqué dans les sources d'information.

WebSphere AS : version 7.0.0.41.
La version 7.0.0.41 est corrigée :
  http://www.ibm.com/support/docview.wss?uid=swg24041931

WebSphere AS : version 8.0.0.12.
La version 8.0.0.12 est corrigée :
  http://www.ibm.com/support/docview.wss?uid=swg24041590

WebSphere AS : version 8.5.5.8.
La version 8.5.5.8 est corrigée :
  http://www.ibm.com/support/docview.wss?uid=swg24041178
Bulletin Vigil@nce complet... (Essai gratuit)

Service de veille sur les vulnérabilités informatiques

Vigil@nce fournit un bulletin de vulnérabilités informatiques. L'équipe Vigil@nce surveille les vulnérabilités informatiques de systèmes et d'applications. Le service de veille sur les vulnérabilités informatiques Vigil@nce alerte vos équipes des failles et des menaces qui concernent votre système d'information. La veille sécurité Vigil@nce publie des bulletins de vulnérabilités pour les failles qui impactent le système d'information.