AMF3-biblioteker til Java er sårbare

Flere programmeringsbiblioteker til Java-implementeringer af AMF3-formatet har sårbarheder, der giver angribere mulighed for at afvikle skadelige programmer.

Sårbarheden ligger i deserialization-funktionerne, der omdanner en strøm af bytes til et objekt. Flere programmer har tidligere haft sårbarheder i behandlingen af deserialization.

En sikkerhedsforsker har fundet tre sårbarheder i Java-implementeringer af koden, der udfører deserialization på objekter af typen Action Message Format. Det er et format, Adobe anvender i Flash Player.

Blandt de sårbare produkter er Adobe Flex BlazeDS, som Adobe ikke længere vedligeholder. Brugere anbefales at bruge den open source-version, som Apache vedligeholder.

Apache Flex BlazeDS version 4.7.3 lukker hullerne.

Atlassian oplyser, at JIRA Server version 6.3.0 lukker hullerne, der har været i programmet siden version 4.2.4.

Ifølge sikkerhedsforsker Markus Wulftange er der også sårbarheder i Flamingo AMF Serializer fra Exadel, GraniteDS og WebORB for Java fra Midnight Coders.

CERT har endnu ikke hørt fra følgende producenter:

  • Exadel
  • Granite Data Services
  • Hewlett Packard Enterprise
  • Midnight Coders
  • Pivotal
  • SonicWall
  • VMware

Anbefaling

Opdater til en rettet version af AMF3-bibliotekerne.

Links