pslaboが試したことの記録

はてなダイヤリーからはてなブログに引っ越してきました

この日記は現在実行中の減量記録を含む個人的なメモとして始めましたが、最近はコンピュータやガジェット、ハック、セキュリティネタのほうがメインになっております。

はてなダイヤリー時代はカテゴリ分けが適当だったのですが、これはそのうち直します。


Apache Commons Collections 脆弱性の件で、JVN からも情報が出ました。

ちょうど1週間前にこんな記事を書きましたが……

pslabo.hatenablog.com


昨日付けで JVN からも情報が出てきました。
JVNVU#94276522: Apache Commons Collections ライブラリのデシリアライズ処理に脆弱性

これまでにいろいろなところで書かれている情報に対して大きなアップデートがあるわけじゃない。だけど影響を受けるシステムとして以下2点が明示されておりますので、何らかの対策は行っておいた方がよさげ。

  • Apache Commons Collections ライブラリを直接使用している Java アプリケーション
  • クラスパス指定でアクセスできる範囲に Apache Commons Collections ライブラリを設置している Java アプリケーション


だがしかし、ワークアラウンドとして提示されている方法は微妙かも。

本質的には「シリアライズされたデータをネットワーク経由で受け取らない」とか「データが安全かどうかを検証してデシリアライズする」というのが妥当な解決方法なのは言うまでもない。

ライブラリ側の改修は「デフォルトではデシリアライズを無効化する」だけなので本質的な対策じゃない。これは先週の記事にも書いた通りです。

シリアライズされたデータを受け取ることが必要なアプリケーションが、その実装を変えずに暫定対処するのはほとんど無理ですよねえ。。。