Apache Commons Collections 脆弱性の件で、JVN からも情報が出ました。
ちょうど1週間前にこんな記事を書きましたが……
昨日付けで JVN からも情報が出てきました。
JVNVU#94276522: Apache Commons Collections ライブラリのデシリアライズ処理に脆弱性
これまでにいろいろなところで書かれている情報に対して大きなアップデートがあるわけじゃない。だけど影響を受けるシステムとして以下2点が明示されておりますので、何らかの対策は行っておいた方がよさげ。
- Apache Commons Collections ライブラリを直接使用している Java アプリケーション
- クラスパス指定でアクセスできる範囲に Apache Commons Collections ライブラリを設置している Java アプリケーション
だがしかし、ワークアラウンドとして提示されている方法は微妙かも。
本質的には「シリアライズされたデータをネットワーク経由で受け取らない」とか「データが安全かどうかを検証してデシリアライズする」というのが妥当な解決方法なのは言うまでもない。
ライブラリ側の改修は「デフォルトではデシリアライズを無効化する」だけなので本質的な対策じゃない。これは先週の記事にも書いた通りです。
シリアライズされたデータを受け取ることが必要なアプリケーションが、その実装を変えずに暫定対処するのはほとんど無理ですよねえ。。。