Company Contact Us 사이트맵 로그인


공지사항
자주하는질문(FAQ)
온라인 상담
Contact Us
신청서 다운로드
공지사항

No 69
제목 [11월30일]Apache commons-collection 라이브러리 원격코드실행 취약점 업데이트 권고
작성일 2015-12-09 11:02:28
내용

제목: Apache commons-collection 라이브러리 원격코드실행 취약점 업데이트 권고

url : http://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=23783

 

 □ 개요

o 자바 관련 공통 컴포넌트 개발을 위한 Apache commons-collection 라이브러리[1]에서 원격코드실행 취약점이 발견

o 공격자가 취약한 대상 서비스에 악의적인 데이터를 삽입하여 전송할 경우 시스템 명령어 실행, 악성코드 다운로드 및 실행 등 가능

 

□ 취약점 내용

o Apache commons-collection 라이브러리에 공격자가 원격에서 명령 실행 가능성이 있는 Serialization support 제거, 안전하지 않은 클래스 :CloneTransformer, ForClosure, InstantiateFactory, InstantiateTransformer, InvokerTransformer, PrototypeCloneFactory, PrototypeSerializationFactory, WhileClosure

 

□ 영향 받는 소프트웨어

o Apache commons-collection 라이브러리 Version 3.0 ~ 4.0

o Apache commons-collection 라이브러리를 사용하는 자바 기반 애플리케이션

   - Oracle WebLogic, IBM WebSphere, RedHat JBoss, Jenkins, OpenNMS 등

 

□ 해결 방안

o Apache commons-collection 4.1 최신버전으로 업데이트 적용

  - 다운로드 링크(http://commons.apache.org/proper/commons-collections/download_collections.cgi)를 통해 최신 버전 설치

 

□ 기타 문의사항 

o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

 

[참고사이트]

[1] https://commons.apache.org/proper/commons-collections/

[2] https://issues.apache.org/jira/browse/COLLECTIONS-580 

[12월8일]OpenSSL 취약점...
[11월11일]Adobe Flash Player 신규...

목록보기