Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
Описание
Библиотека Jakarta/Apache Commons Collections предоставляет новые интерфейсы, реализации и утилиты, расширяя возможности Java Collections Framework.
Уязвимость в библиотеке Apache commons-collections позволяет выполнить код при десериализации объектов с использованием специально сформированной цепочки классов. Эксплуатация данной уязвимости позволяет злоумышленникам, действующим удаленно, выполнить произвольный код с правами приложения, использующего библиотеку commons-collections. (CVE-2015-7501)
После обновления десериализация определенных классов в библиотеке commons-collections будет запрещена. Для приложений, которым требуется десериализация этих классов, ее можно включить, воспользовавшись системным свойством "org.apache.commons.collections.enableUnsafeSerialization".
Дополнительную информацию по данной уязвимости можно найти по адресу:
https://access.redhat.com/solutions/2045023
https://access.redhat.com/solutions/2045023">https://access.redhat.com/solutions/2045023
/>
Для устранения уязвимости, пользователям jakarta-commons-collections необходимо обновить систему, используя данные пакеты с бэкпортироваными исправлениями.
Чтобы обновления вступили в силу, необходимо перезапустить все активные приложения, использующие библиотеку commons-collections.
Уязвимость в библиотеке Apache commons-collections позволяет выполнить код при десериализации объектов с использованием специально сформированной цепочки классов. Эксплуатация данной уязвимости позволяет злоумышленникам, действующим удаленно, выполнить произвольный код с правами приложения, использующего библиотеку commons-collections. (CVE-2015-7501)
После обновления десериализация определенных классов в библиотеке commons-collections будет запрещена. Для приложений, которым требуется десериализация этих классов, ее можно включить, воспользовавшись системным свойством "org.apache.commons.collections.enableUnsafeSerialization".
Дополнительную информацию по данной уязвимости можно найти по адресу:
https://access.redhat.com/solutions/2045023
https://access.redhat.com/solutions/2045023">https://access.redhat.com/solutions/2045023
/>
Для устранения уязвимости, пользователям jakarta-commons-collections необходимо обновить систему, используя данные пакеты с бэкпортироваными исправлениями.
Чтобы обновления вступили в силу, необходимо перезапустить все активные приложения, использующие библиотеку commons-collections.
Как исправить
Перед установкой данного обновления убедитесь, что все ранее выпущенные исправления присутствуют в системе.
Подробная информация по установке данного обновления представлена на https://access.redhat.com/knowledge/articles/11258.
Подробная информация по установке данного обновления представлена на https://access.redhat.com/knowledge/articles/11258.
Ссылки
https://rhn.redhat.com/errata/RHSA-2015-2671.html
Источник: CVE
Наименование: CVE-2015-7501
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7501
Источник: CVE
Наименование: CVE-2015-7501
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7501