2015-1777: Apache Commons Collections, IBM WebSphere Application Server, Oracle WebLogic Server: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2015-11-17 18:59): Neues Advisory
Version 2 (2015-11-18 18:30): Die Referenz zum Jenkins Advisory, der Hinweis auf die Jenkins Patches und Jenkins im Titel wurden entfernt, da Jenkins nun eine eigene CVE-ID (CVE-2015-8103) zugewiesen bekommen hat. Ebenso wurde Apache Commons Collections aus dem Titel entfernt, da es für diese Software ebenfalls inzwischen eine eigene CVE-ID (CVE-2015-7501) gibt.
Version 3 (2015-12-10 12:30): Cisco informiert per Security Advisory in einem Interim-Status darüber, dass die verwundbare Apache Commons Collections (ACC) Bibliothek auch in Cisco Produkten zum Einsatz kommt. Für einige Produkte u.a. die Cisco WebEx Meetings Server Versionen 1.x und 2.x sowie den Cisco Secure Access Control Server ist eine Betroffenheit bestätigt, eine Reihe anderer Produkte wird noch untersucht. Cisco kündigt, noch ohne Termin, an, dass Sicherheitsupdates erstellt werde. Weitere Informationen werden über die referenzierte Seite (Cisco Security Advisory cisco-sa-20151209-java-deserialization) bereitgestellt, sobald sie verfügbar sind.
Version 4 (2015-12-14 15:51): Cisco informiert mit dem Update 1.1 seines Security Advisories in einem Interim-Status darüber, dass für Cisco Produkte, in denen die verwundbare Apache Commons Collections (ACC) Bibliothek zum Einsatz kommt, jetzt die CVE-ID CVE-2015-6420 vergeben wurde. Weiterhin wurde die Liste der betroffenen Produkte aktualisiert und u.a. die Verwundbarkeit des Cisco Unified Communications Managers bestätigt.
Version 5 (2015-12-16 12:41): F5 Networks informiert über die Betroffenheit der F5 Produkte und Versionen. Unter anderem sind die BIG-IP PSM Versionen 11.0.0 - 11.4.1 durch die Schwachstelle CVE-2015-4852 angreifbar.
Version 6 (2016-02-04 12:24): Cisco aktualisiert erneut die Liste der von der Schwachstelle betroffenen Produkte und führt u.a. jetzt auch die Cisco Identity Services Engine (ISE) und das Cisco Secure Access Control System (ACS) als verwundbar auf. Sicherheitsupdates stehen bisher nur für ein Produkt (Cisco Services Provisioning Platform (SPP)) im Hosted Services Bereich zur Verfügung.
Version 7 (2016-02-26 16:04): Cisco aktualisiert erneut die Liste der von Schwachstelle CVE-2015-6420 betroffenen Produkte und führt u.a. Cisco Emergency Responder, Cisco MediaSense, Cisco MeetingPlace, Cisco Mobility Services Engine (MSE), Cisco Network Admission Control, Cisco Prime Infrastructure, Provisioning sowie Security Manager, Cisco SocialMiner, Cisco Unified Communications Manager, Domain Manager, Contact Center Express sowie E-Mail Interaction Manager, Cisco Unity Connection und Cisco Unified Computing Systems als verwundbar auf.

Betroffene Software

Middleware
Netzwerk
Server
Systemsoftware

Betroffene Plattformen

Hardware
Cisco
HP
IBM
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Eine Schwachstelle in Apache Commons Collections, Jenkins remoting und anderen ermöglicht einem entfernten, nicht authentifizierten Angreifer beliebigen Programmcode auszuführen. Diese Schwachstelle betrifft eine Reihe von Application Server Produkten verschiedener Hersteller, unter anderem die IBM WebSphere Application Server Versionen 7.0, 8.0, 8.5, 8.5.5 und die Oracle WebLogic Server Versionen 10.3.6.0, 12.1.2.0, 12.1.3.0, 12.2.1.0; IBM WebSphere Application Server verwendet Apache Commons, der Oracle WebLogic Server verwendet Jenkins.

Der Hersteller von Jenkins hat die fehlerbereinigten Versionen 1.638 (Main) und 1.625.2 (LTS) zum Download zur Verfügung gestellt.

Für IBM WebSphere Application Server und IBM WebSphere Application Server Hypervisor Editionen werden ebenfalls Sicherheitsupdates bereitgestellt, für V8.5.0.0 - 8.5.5.7 der Interim Fix PI52103, für V8.0.0.0 - 8.0.0.11 der Interim Fix PI52103, für V7.0.0.0 - 7.0.0.39 der Interim Fix PI52103. Die entsprechenden Fix Pack Versionen 8.5.5.8, 8.0.0.12 und 7.0.0.41 werden für Dezember 2015, Februar 2016, bzw. April 2016 angekündigt.

Oracle informiert darüber, dass an der Erstellung von Sicherheitsupdates für Oracle WebLogic Server gearbeitet wird.

Schwachstellen:

CVE-2015-4852

Schwachstelle in Apache Commons Collections ermöglicht Ausführen beliebigen Programmcodes

CVE-2015-6420