UPDATE: DFN-CERT-2015-1777 IBM WebSphere Application Server, Oracle WebLogic Server: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes [Linux][Unix][AIX][Solaris][Windows]

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (18.11.2015):
Die Referenz zum Jenkins Advisory, der Hinweis auf die Jenkins Patches und
Jenkins im Titel wurden entfernt, da Jenkins nun eine eigene CVE-ID
(CVE-2015-8103) zugewiesen bekommen hat. Ebenso wurde Apache Commons
Collections aus dem Titel entfernt, da es für diese Software ebenfalls
inzwischen eine eigene CVE-ID (CVE-2015-7501) gibt.
Version 1 (17.11.2015):
Neues Advisory

Betroffene Software:

IBM WebSphere Application Server 7.0
IBM WebSphere Application Server 8.0
IBM WebSphere Application Server 8.5
IBM WebSphere Application Server 8.5.5
Oracle Weblogic Server 10.3.6.0
Oracle Weblogic Server 12.1.2.0
Oracle Weblogic Server 12.1.3.0
Oracle Weblogic Server 12.2.1.0

Betroffene Plattformen:

GNU/Linux
HP-UX family of operating systems
IBM AIX
Microsoft Windows
Oracle Solaris

Eine Schwachstelle in Apache Commons Collections, Jenkins remoting und
anderen ermöglicht einem entfernten, nicht authentifizierten Angreifer
beliebigen Programmcode auszuführen. Diese Schwachstelle betrifft eine Reihe
von Application Server Produkten verschiedener Hersteller, unter anderem die
IBM WebSphere Application Server Versionen 7.0, 8.0, 8.5, 8.5.5 und die
Oracle WebLogic Server Versionen 10.3.6.0, 12.1.2.0, 12.1.3.0, 12.2.1.0; IBM
WebSphere Application Server verwendet Apache Commons, der Oracle WebLogic
Server verwendet Jenkins.

Der Hersteller von Jenkins hat die fehlerbereinigten Versionen 1.638 (Main)
und 1.625.2 (LTS) zum Download zur Verfügung gestellt.

Für IBM WebSphere Application Server und IBM WebSphere Application Server
Hypervisor Editionen werden ebenfalls Sicherheitsupdates bereitgestellt, für
V8.5.0.0 – 8.5.5.7 der Interim Fix PI52103, für V8.0.0.0 – 8.0.0.11 der
Interim Fix PI52103, für V7.0.0.0 – 7.0.0.39 der Interim Fix PI52103. Die
entsprechenden Fix Pack Versionen 8.5.5.8, 8.0.0.12 und 7.0.0.41 werden für
Dezember 2015, Februar 2016, bzw. April 2016 angekündigt.

Oracle informiert darüber, dass an der Erstellung von Sicherheitsupdates für
Oracle WebLogic Server gearbeitet wird.

Patch:

IBM Security Bulletin swg21970575

http://www-01.ibm.com/support/docview.wss?uid=swg21970575

CVE-2015-4852: Schwachstelle in Apache Commons Collections ermöglicht
Ausführen beliebigen Programmcodes

Eine Schwachstelle in der Apache Commons Collections Java Bibliothek führt
dazu, dass eine Applikation, die speziell präparierte serialisierte Objekte
als Benutzereingabe ungeprüft akzeptiert sowie die Commons Collections im
Java “classpath” hat, dazu gebracht werden kann, beliebigen Programmcode mit
den Rechten der Anwendung auszuführen. Der Fehler liegt in der Art und
Weise, wie die Deserialisierung der Daten durch die Java InvokerTransformer
Klasse durchgeführt wird.

Die Commons Collections Java Bibliothek ist Bestandteil von vielen
Produkten, die dementsprechend verwundbar sind. Dazu zählen auch IBM
WebSphere und Oracle WebLogic.

Ein entfernter, nicht authentisierter Angreifer kann diese Schwachstelle
ausnutzen, um beliebigen Programmcode auszuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1777/

IBM Security Bulletin swg21970575:
http://www-01.ibm.com/support/docview.wss?uid=swg21970575

Oracle Security Alert CVE-2015-4852:
http://www.oracle.com/technetwork/topics/security/alert-cve-2015-4852-2763333.html

Schwachstelle CVE-2015-4852 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4852

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.