Уязвимость, обнаруженная в середине ноября 2015 года специалистами компании FoxGlove Security, оказалась более коварной, чем предполагалось изначально. Так, на днях компания SourceClear сообщила, что багу подвержена далеко не одна библиотека, а более 40. А теперь еще и компания Cisco признала, что проблема затрагивает их продукцию.

Ранее исследователи выявили, что злоумышленники могут атаковать любые Java-серверы приложений, а также другие продукты, в которых используются подверженные проблеме дисериализации библиотеки. Уязвимость связана с тем, как Java исполняет user-defined  код во время десериализации объектов. И если эксперты FoxGlove Security обнаружили только одну уязвимую библиотеку в составе Apache Commons, то специалисты SourceClear выявили аналогичную проблему еще в 40 библиотеках.

В своих отчетах исследователи указывают на тот факт, что корень проблемы лежит даже в самих библиотеках. Дело в самой функции сериализации и десериализации языка Java, а также в разработчиках, которые забывают удостовериться в том, чтобы недоверенные сериализованные данные не принимались для сериализации.

После сообщения об обнаружении уязвимости, компания Cisco провела собственное расследование, проверив на предмет бага собственные продукты. К сожалению, опасения сотрудников Cisco не были беспочвенными. Хотя расследование продолжается, уже ясно, что проблема затрагивает множество продуктов компании. Полный их список можно увидеть ниже. Официальный бюллетень безопасности также приводит список потенциально опасных продуктов и список гарантировано безопасных. Сообщается, что инженеры Cisco уже работают над созданием патчей.

Продукт Дефект
Кабельные модемы
Digital Life RMS 1.8.1.1 for Cisco Broadband Access Center Telco Wireless 3.8.1 CSCux34660
Сотрудничество и социальные медиа
Cisco SocialMiner CSCux34833
Cisco WebEx Meetings Server versions 1.x CSCux34612
Cisco WebEx Meetings Server versions 2.x CSCux34612
Сетевые приложения, сервисы и акселерация
Cisco Visual Quality Experience Server CSCux34725
Cisco Visual Quality Experience Tools Server CSCux34725
Устройства для безопасности сетей и контента
Cisco Secure Access Control Server (ACS) CSCux34781
Сетевой менеджмент и конфигурирование
Cisco Configuration Professional CSCux35040
Cisco Digital Media Manager CSCux34692
Cisco Insight Reporter CSCux34694
Cisco Prime Collaboration Provisioning CSCux34669
Cisco Prime Home CSCux34668
Cisco Prime Performance Manager CSCux34953
Cisco Prime Provisioning for SPs CSCux34664
Cisco Prime Provisioning CSCux35084
Cisco Prime Service Catalog Virtual Appliance CSCux34715
Cisco Security Manager CSCux34671
Data Center Analytics Framework (DCAF) CSCux34575
Роутинг и свичинг (энтерпрайз и провайдеры)
Cisco Broadband Access Center Telco Wireless CSCux34645
Устройства для голосовой и унифицированной коммуникации
Cisco Computer Telephony Integration Object Server (CTIOS) CSCux34589
Cisco IP Interoperability and Collaboration System (IPICS) CSCux34720
Cisco Management Heartbeat Server CSCux35009
Cisco MediaSense CSCux34874
Cisco Unified Contact Center Enterprise CSCux34589
Cisco Unified Intelligent Contact Management Enterprise CSCux34589
Cisco Unified SIP Proxy CSCux34567
Видео, стриминг, TelePresence и перекодирующие устройства
Cisco Media Experience Engines (MXE) CSCux34968
Cisco Show and Share CSCux34708
Cisco TelePresence Exchange System (CTX) CSCux34690
Cisco Videoscape Conductor CSCux34792
Cisco Hosted Services
Business Video Services Automation Software (BV) CSCux34572
Cisco Cloud Email Security CSCux34593
Cisco Registered Envelope Service (CRES) CSCux34591
Communication/Collaboration Sizing Tool, Virtual Machine Placement Tool, Cisco Unified Communications Upgrade Readiness Assessment CSCux34881
DCAF UCS Collector CSCux34924
Network Change and Configuration Management CSCux34580
Partner Supporting Service (PSS) 1.x CSCux34739
SI component of Partner Supporting Service CSCux34738
Serial Number Assessment Service (SNAS) CSCux34991
Smart Net Total Care (SNTC) CSCux34987

Фото: Prayitno



Оставить мнение