Уязвимость, обнаруженная в середине ноября 2015 года специалистами компании FoxGlove Security, оказалась более коварной, чем предполагалось изначально. Так, на днях компания SourceClear сообщила, что багу подвержена далеко не одна библиотека, а более 40. А теперь еще и компания Cisco признала, что проблема затрагивает их продукцию.
Ранее исследователи выявили, что злоумышленники могут атаковать любые Java-серверы приложений, а также другие продукты, в которых используются подверженные проблеме дисериализации библиотеки. Уязвимость связана с тем, как Java исполняет user-defined код во время десериализации объектов. И если эксперты FoxGlove Security обнаружили только одну уязвимую библиотеку в составе Apache Commons, то специалисты SourceClear выявили аналогичную проблему еще в 40 библиотеках.
В своих отчетах исследователи указывают на тот факт, что корень проблемы лежит даже в самих библиотеках. Дело в самой функции сериализации и десериализации языка Java, а также в разработчиках, которые забывают удостовериться в том, чтобы недоверенные сериализованные данные не принимались для сериализации.
После сообщения об обнаружении уязвимости, компания Cisco провела собственное расследование, проверив на предмет бага собственные продукты. К сожалению, опасения сотрудников Cisco не были беспочвенными. Хотя расследование продолжается, уже ясно, что проблема затрагивает множество продуктов компании. Полный их список можно увидеть ниже. Официальный бюллетень безопасности также приводит список потенциально опасных продуктов и список гарантировано безопасных. Сообщается, что инженеры Cisco уже работают над созданием патчей.
| Продукт | Дефект |
| Кабельные модемы | |
| Digital Life RMS 1.8.1.1 for Cisco Broadband Access Center Telco Wireless 3.8.1 | CSCux34660 |
| Сотрудничество и социальные медиа | |
| Cisco SocialMiner | CSCux34833 |
| Cisco WebEx Meetings Server versions 1.x | CSCux34612 |
| Cisco WebEx Meetings Server versions 2.x | CSCux34612 |
| Сетевые приложения, сервисы и акселерация | |
| Cisco Visual Quality Experience Server | CSCux34725 |
| Cisco Visual Quality Experience Tools Server | CSCux34725 |
| Устройства для безопасности сетей и контента | |
| Cisco Secure Access Control Server (ACS) | CSCux34781 |
| Сетевой менеджмент и конфигурирование | |
| Cisco Configuration Professional | CSCux35040 |
| Cisco Digital Media Manager | CSCux34692 |
| Cisco Insight Reporter | CSCux34694 |
| Cisco Prime Collaboration Provisioning | CSCux34669 |
| Cisco Prime Home | CSCux34668 |
| Cisco Prime Performance Manager | CSCux34953 |
| Cisco Prime Provisioning for SPs | CSCux34664 |
| Cisco Prime Provisioning | CSCux35084 |
| Cisco Prime Service Catalog Virtual Appliance | CSCux34715 |
| Cisco Security Manager | CSCux34671 |
| Data Center Analytics Framework (DCAF) | CSCux34575 |
| Роутинг и свичинг (энтерпрайз и провайдеры) | |
| Cisco Broadband Access Center Telco Wireless | CSCux34645 |
| Устройства для голосовой и унифицированной коммуникации | |
| Cisco Computer Telephony Integration Object Server (CTIOS) | CSCux34589 |
| Cisco IP Interoperability and Collaboration System (IPICS) | CSCux34720 |
| Cisco Management Heartbeat Server | CSCux35009 |
| Cisco MediaSense | CSCux34874 |
| Cisco Unified Contact Center Enterprise | CSCux34589 |
| Cisco Unified Intelligent Contact Management Enterprise | CSCux34589 |
| Cisco Unified SIP Proxy | CSCux34567 |
| Видео, стриминг, TelePresence и перекодирующие устройства | |
| Cisco Media Experience Engines (MXE) | CSCux34968 |
| Cisco Show and Share | CSCux34708 |
| Cisco TelePresence Exchange System (CTX) | CSCux34690 |
| Cisco Videoscape Conductor | CSCux34792 |
| Cisco Hosted Services | |
| Business Video Services Automation Software (BV) | CSCux34572 |
| Cisco Cloud Email Security | CSCux34593 |
| Cisco Registered Envelope Service (CRES) | CSCux34591 |
| Communication/Collaboration Sizing Tool, Virtual Machine Placement Tool, Cisco Unified Communications Upgrade Readiness Assessment | CSCux34881 |
| DCAF UCS Collector | CSCux34924 |
| Network Change and Configuration Management | CSCux34580 |
| Partner Supporting Service (PSS) 1.x | CSCux34739 |
| SI component of Partner Supporting Service | CSCux34738 |
| Serial Number Assessment Service (SNAS) | CSCux34991 |
| Smart Net Total Care (SNTC) | CSCux34987 |
Фото: Prayitno
