Comme chaque semaine, le CERT-XMCO vous partage une information ayant fait l’actualité durant la semaine écoulée. Cette semaine, nous vous proposons le bulletin d’information concernant les clarifications du MITRE sur les CVE relatives à la récente faille affectant Apache Commons.
| Titre | Le MITRE clarifie la situation sur la faille de sécurité affectant Apache Commons |
| Titre officiel | Assign CVE for common-collections remote code execution on deserialisation flaw |
| Criticité |  Elevée |
| Date | 18 Novembre 2015 |
| Description | Suite à l’article publié par les chercheurs de la société Foxglove Security (voir CXA-2015-3634), la situation concernant le statut de la « vulnérabilité » affectant la bibliothèque Apache Commons était pour le moins flou.
La publication de ce document ayant suscité des inquiétudes de la part des experts en sécurité, une demande d’assignation de CVE à cette faille de sécurité a été émise. Le MITRE a répondu à cette demande en clarifiant certains points : * Aucune CVE ne sera assignée concernant la vulnérabilité touchant la bibliothèque Apache Commons Collections (cette dernière contenant les classes vulnérables). Le point de vue du MITRE justifiant cette décision est que la vulnérabilité n’en est pas vraiment une. En effet, par défaut, la bibliothèque ne dispose pas de protection particulière permettant d’éviter l’insertion de code malveillant au sein d’objets Java sérialisés (alors exécuté lors de la désérialisation de ces objets par les classes vulnérables). Le MITRE considère qu’il incombe aux développeurs de filtrer les entrées utilisateurs afin de se prémunir de ce genre de vulnérabilité. * Différentes CVE ont été cependant attribuées à cette vulnérabilité, mais pour les logiciels connus utilisant les classes « vulnérables » de la bibliothèque. C’est ainsi que la référence CVE-2015-3253 est utilisée pour un patch diffusé par Apache (permettant de lever une exception lors de l’utilisation d’objets Java sérialisés au sein d’une des classes vulnérables) (voir CXA-2015-3637). La vulnérabilité CVE-2015-4852, quant à elle, a été attribuée suite au correctif publié par Oracle concernant le produit WebLogic (voir CXA-2015-3736). Bien que le MITRE précise que la CVE-2015-4852 ne doit être utilisée que pour la faille touchant Oracle Weblogic, c’est aussi la référence utilisée par IBM concernant le logiciel WebSphere (voir CXA-2015-3709). D’une manière générale, les vulnérabilités, bien qu’étant basées sur le défaut de sécurité des classes de la bibliothèque Apache Commons Collections, n’ont pas forcément le même impact ni le même contexte d’exploitation selon l’application les utilisant. Ainsi, l’attribution d’une référence CVE différente pour chaque logiciel touché est recommandée par le MITRE. Des correctifs concernant les produits JBoss et OpenNMS ne sont, pour l’instant, pas encore disponibles, malgré la sortie d’un code d’exploitation concernant JBoss (voir CXA-2015-3739). De plus, la référence CVE attribuée au produit Jenkins n’est pas encore connue, bien qu’un correctif soit disponible (voir CXA-2015-3705). Edit : Un correctif pour JBoss a été publié depuis la rédaction de ce bulletin. |
| Référence | http://seclists.org/oss-sec/2015/q4/305
https://cert.xmco.fr/veille/index.xmco?nv=CXA-2015-3634 |
| Id XMCO | CXA-2015-3738 |
| Lien extranet XMCO | https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2015-3738 |
Découvrir d'autres articles
-
Cyber Threat IntelligenceRetour sur les opérations hacktivistes ciblant la France en marge du conflit israélo-palestinien
Lire l'article -
Actualités et veille en cybersécuritéExploitation d’une vulnérabilité dans WinRAR lors de campagnes de phishing
Lire l'article -
Actualités et veille en cybersécurité10 erreurs de configuration réseau à ne pas commettre selon la NSA et le CISA
Lire l'article