[INFO] [SECURITE] Le MITRE clarifie la situation sur la faille de sécurité affectant Apache Commons

[INFO] [SECURITE] Le MITRE clarifie la situation sur la faille de sécurité affectant Apache Commons

Comme chaque semaine, le CERT-XMCO vous partage une information ayant fait l’actualité durant la semaine écoulée. Cette semaine, nous vous proposons le bulletin d’information concernant les clarifications du MITRE sur les CVE relatives à la récente faille affectant Apache Commons.

Bulletin CXA-2015-3738
Titre Le MITRE clarifie la situation sur la faille de sécurité affectant Apache Commons
Titre officiel Assign CVE for common-collections remote code execution on deserialisation flaw
Criticité Criticite Elevée
Date 18 Novembre 2015
Description Suite à l’article publié par les chercheurs de la société Foxglove Security (voir CXA-2015-3634), la situation concernant le statut de la « vulnérabilité » affectant la bibliothèque Apache Commons était pour le moins flou.

La publication de ce document ayant suscité des inquiétudes de la part des experts en sécurité, une demande d’assignation de CVE à cette faille de sécurité a été émise. Le MITRE a répondu à cette demande en clarifiant certains points :

* Aucune CVE ne sera assignée concernant la vulnérabilité touchant la bibliothèque Apache Commons Collections (cette dernière contenant les classes vulnérables). Le point de vue du MITRE justifiant cette décision est que la vulnérabilité n’en est pas vraiment une. En effet, par défaut, la bibliothèque ne dispose pas de protection particulière permettant d’éviter l’insertion de code malveillant au sein d’objets Java sérialisés (alors exécuté lors de la désérialisation de ces objets par les classes vulnérables). Le MITRE considère qu’il incombe aux développeurs de filtrer les entrées utilisateurs afin de se prémunir de ce genre de vulnérabilité.

* Différentes CVE ont été cependant attribuées à cette vulnérabilité, mais pour les logiciels connus utilisant les classes « vulnérables » de la bibliothèque. C’est ainsi que la référence CVE-2015-3253 est utilisée pour un patch diffusé par Apache (permettant de lever une exception lors de l’utilisation d’objets Java sérialisés au sein d’une des classes vulnérables) (voir CXA-2015-3637). La vulnérabilité CVE-2015-4852, quant à elle, a été attribuée suite au correctif publié par Oracle concernant le produit WebLogic (voir CXA-2015-3736).

Bien que le MITRE précise que la CVE-2015-4852 ne doit être utilisée que pour la faille touchant Oracle Weblogic, c’est aussi la référence utilisée par IBM concernant le logiciel WebSphere (voir CXA-2015-3709). D’une manière générale, les vulnérabilités, bien qu’étant basées sur le défaut de sécurité des classes de la bibliothèque Apache Commons Collections, n’ont pas forcément le même impact ni le même contexte d’exploitation selon l’application les utilisant. Ainsi, l’attribution d’une référence CVE différente pour chaque logiciel touché est recommandée par le MITRE.

Des correctifs concernant les produits JBoss et OpenNMS ne sont, pour l’instant, pas encore disponibles, malgré la sortie d’un code d’exploitation concernant JBoss (voir CXA-2015-3739). De plus, la référence CVE attribuée au produit Jenkins n’est pas encore connue, bien qu’un correctif soit disponible (voir CXA-2015-3705).

Edit : Un correctif pour JBoss a été publié depuis la rédaction de ce bulletin.

Référence http://seclists.org/oss-sec/2015/q4/305

https://cert.xmco.fr/veille/index.xmco?nv=CXA-2015-3634
https://cert.xmco.fr/veille/index.xmco?nv=CXA-2015-3637
https://cert.xmco.fr/veille/index.xmco?nv=CXA-2015-3705
https://cert.xmco.fr/veille/index.xmco?nv=CXA-2015-3736
https://cert.xmco.fr/veille/index.xmco?nv=CXA-2015-3709
https://cert.xmco.fr/veille/index.xmco?nv=CXA-2015-3739

Id XMCO CXA-2015-3738
Lien extranet XMCO https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2015-3738

Cert-XMCO