2015년 11월 11일 Apache commons-collection 라이브러리 원격코드실행 취약점 주의 권고 KISA 보안공지 이 후,
11월 30일자로 취약점 업데이트 권고로 상향 공지되어 해당 취약점 안내드립니다.
□ 개요
o 자바 관련 공통 컴포넌트 개발을 위한 Apache commons-collection 라이브러리[1]에서
원격코드실행 취약점이 발견
o 공격자가 취약한 대상 서비스에 악의적인 데이터를 삽입하여 전송할 경우 시스템 명령어 실행,
악성코드 다운로드 및 실행 등 가능
□ 취약점 내용
o Apache commons-collection 라이브러리에 공격자가 원격에서
명령 실행 가능성이 있는 Serialization support 제거,
안전하지 않은 클래스 :CloneTransformer, ForClosure, InstantiateFactory,
InstantiateTransformer, InvokerTransformer, PrototypeCloneFactory,
PrototypeSerializationFactory, WhileClosure
□ 영향 받는 소프트웨어
o Apache commons-collection 라이브러리 Version 3.0 ~ 4.0
o Apache commons-collection 라이브러리를 사용하는 자바 기반 애플리케이션
– Oracle WebLogic, IBM WebSphere, RedHat JBoss, Jenkins, OpenNMS 등
□ 해결 방안
o Apache commons-collection 4.1 최신버전으로 업데이트 적용
– 다운로드 링크
(http://commons.apache.org/proper/commons-collections/download_collections.cgi)를 통해 최신 버전 설치
□ 기타 문의사항
o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118
[참고사이트]