• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Бюллетень по безопасности RHSA-2015:2671 (jakarta-commons-collections)

Главная Специалистам База уязвимостей Бюллетень по безопасности RHSA-2015:2671 (jakarta-commons-collections)

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
Описание
Библиотека Jakarta/Apache Commons Collections предоставляет новые интерфейсы, реализации и утилиты, расширяя возможности Java Collections Framework.

Уязвимость в библиотеке Apache commons-collections позволяет выполнить код при десериализации объектов с использованием специально сформированной цепочки классов. Эксплуатация данной уязвимости позволяет злоумышленникам, действующим удаленно, выполнить произвольный код с правами приложения, использующего библиотеку commons-collections. (CVE-2015-7501)

После обновления десериализация определенных классов в библиотеке commons-collections будет запрещена. Для приложений, которым требуется десериализация этих классов, ее можно включить, воспользовавшись системным свойством "org.apache.commons.collections.enableUnsafeSerialization".

Дополнительную информацию по данной уязвимости можно найти по адресу:
https://access.redhat.com/solutions/2045023https://access.redhat.com/solutions/2045023">https://access.redhat.com/solutions/2045023 />
Для устранения уязвимости, пользователям jakarta-commons-collections необходимо обновить систему, используя данные пакеты с бэкпортироваными исправлениями.
Чтобы обновления вступили в силу, необходимо перезапустить все активные приложения, использующие библиотеку commons-collections.
Как исправить
Перед установкой данного обновления убедитесь, что все ранее выпущенные исправления присутствуют в системе.

Подробная информация по установке данного обновления представлена на https://access.redhat.com/knowledge/articles/11258.
Ссылки