FreeBSD：bsh -- リモートコードの実行の脆弱性（9e5bbffc-d8ac-11e5-b2bd-002590263bf5）

high Nessus プラグイン ID 88877

Language:

概要

リモート FreeBSD ホストには、セキュリティ関連の更新がありません。

説明

Stian Soiland-Reyes 氏による報告：

このリリースでは、Alvaro Munoz 氏および Christian Schneider 氏により BeanShell でその存在が特定されていた、リモートコードの実行の脆弱性を修正しています。BeanShell チームは、この修正に協力し、貢献してくれた彼らに感謝の意を表します。

classpath で BeanShell を含むアプリケーションの別の部分で、Java シリアル化または XStream を使用して信頼できないソースからのデータの逆シリアル化が行われている場合、アプリケーションが脆弱となっている可能性があります。

脆弱なアプリケーションが、任意のシェルコマンドの実行を含む、リモートコードの実行に悪用される可能性があります。

この更新では BeanShell での脆弱性を修正していますが、注目すべきは、その他のライブラリによりこのような逆シリアル化を行っているアプリケーションは安全ではない可能性があることです。アプリケーションの開発者には、逆シリアル化する際に限定されたクラスローダーを使用するなどの、さらなる措置を講じることが推奨されます。Java シリアル化セキュリティ、XStream セキュリティ、および暗号化またはシーリングを使用せずに信頼できない入力から安全に逆シリアル化する方法に関する注記を参照してください。