Apache Commons Collectionsライブラリのデシリアライズ処理において、任意のコードを実行されるセキュリティ脆弱性が報告されています。

JavaアプリケーションがApache Commons Collectionsを直接利用している場合や、クラスパス指定でアクセスできる範囲にApache Commons Collectionsライブラリを配置している場合に影響を受けます。

影響のあるApache Commons Collectionsのバージョンは、3.0系、4.0系の両方です。

• WebOTX Web Edition V6.2(6.22.14.00以降)
• WebOTX Standard-J Edition V6.2(6.22.14.00以降)
• WebOTX Standard Edition V6.2(6.22.14.00以降)
• WebOTX Enterprise Edition V6.2(6.22.14.00以降)
• WebOTX Web Edition V6.3(6.31.16.00以降)
• WebOTX Standard-J Edition V6.3(6.31.16.00以降)
• WebOTX Standard Edition V6.3(6.31.16.00以降)
• WebOTX Enterprise Edition V6.3(6.31.16.00以降)
• WebOTX Web Edition V6.4(6.40.04.00以降)
• WebOTX Standard-J Edition V6.4(6.40.04.00以降)
• WebOTX Standard Edition V6.4(6.40.04.00以降)
• WebOTX Enterprise Edition V6.4(6.40.04.00以降)
• WebOTX Application Server Web Edition V7.1(7.11.08.00以降)
• WebOTX Application Server Standard-J Edition V7.1(7.11.08.00以降)
• WebOTX Application Server Standard Edition V7.1(7.11.08.00以降)
• WebOTX Application Server Enterprise Edition V7.1(7.11.08.00以降)
• WebOTX Enterprise Service Bus V7.1(7.11.08.00以降)
• WebOTX Portal V8.3～V8.4
• WebOTX Enterprise Service Bus V9.3

WebOTXでは、脆弱性のあるApache Commons Collections 3.2のライブラリを含んでおり、シリアライズされたJavaオブジェクトを受け取るサービスが外部からアクセス可能な場合、攻撃による影響を受ける可能性があります。

WebOTXの運用管理のための通信(運用管理コマンドや統合運用管理ツールから操作する際の通信）でも同様にシリアライズオブジェクトを受け取ることができるため、攻撃による影響を受ける可能性があります。

脆弱性問題を改修したApache Commons Collectionsライブラリを組み込んだWebOTXのパッチを提供しています。

• WebOTX Portal V8.3～V8.4向けパッチモジュール
• WebOTX ESB V9.30向けパッチモジュール

上記以外の製品に対するパッチの公開時期は現在検討中です。
急ぎでパッチが必要な場合はご連絡ください。

(注意) パッチモジュールは製品保守契約を結んでいただいたお客様に限定して提供させていただいています。
まだ契約がお済みでないお客様は、保守契約締結の後、ダウンロードをお願いいたします。

ありません。

本脆弱性の詳細は、以下のURLを参照してください。

• JPCERT/CC Japan Vulnerability Notes JVNVU#94276522
  
• The Apache Software Foundation Blog
• バグ管理システムでの本脆弱性に関するエントリ

ユーザ側で脆弱性のあるApache Commons Collectionsライブラリをアプリケーションに同梱してWebOTX Application Server製品に配備している場合、本脆弱性の影響を受ける可能性があります。

この場合、本脆弱性の対処を行ったApache Commons Collectionsライブラリにバージョンアップしてください。

• 2015/11/18 初版
• 2015/11/27 第2版 影響のある製品にWebOTX Application Serverを追加
• 2016/01/20 第3版 影響のある製品にWebOTX Enterprise Service Busを追加、WebOTX Portalのパッチを追加
• 2016/06/06 第4版 対処方法にWebOTX ESB V9.30向けパッチを追加

1. 弊社製品に関する正確なセキュリティ情報をご提供するよう努力しておりますが、それぞれの情報におきまして内容を予告なく変更することがありますので、あらかじめご了承ください。

2. 本サイトに掲載した製品には他社の製品も含まれており、これらの製品の情報につきましては、他社から提供または公開された情報を基にしております。 最新の情報につきましては製品開発元の情報を参照してください。

3. 本サイトは弊社製品のセキュリティ情報の提供を目的としております。 掲載情報に従い対応を行った（あるいは行わなかった）結果につきまして、弊社では責任を負いかねますのでご了承ください。

セキュリティ問題に関する情報は変化しておりますので、お客様には常に最新の情報をご確認いただけますようお願い申し上げます。