Apache Commons Collectionsに脆弱性

JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center、JPCERT/CC)は11月16日、「Japan Vulnerability Notes(JVN)」に掲載した記事「JVNVU#94276522: Apache Commons Collections ライブラリのデシリアライズ処理に脆弱性」において、Apache Commons Collectionライブラリのデシリアライズ処理に脆弱性があることを伝えた。この脆弱性を突かれると任意のコードが実行させられる危険性がある。

Apache Commons Collectionsライブラリを使用しているJavaアプリケーションがこの脆弱性の影響を受けるほか、クラスパス指定でアクセスできる範囲にApache Commons Collectionライブラリがデプロイされている場合も、この脆弱性の影響を受けるとされている。

Apache Commons CollectionsはWebアプリケーション・サーバやWebアプリケーション・フレームワーク、人気の高いアプリケーションや実行環境などさまざまなシーンで活用されており、影響が広範囲に及んでいる可能性がある。

本稿執筆時点で、この問題に対する抜本的な対策は発表されておらず、いくつかの回避策が提案されている段階にとどまっている。Javaで開発されたソフトウェアを使用している場合、該当するソフトウェアベンダやプロジェクトの発表に注目するとともに、一時回避策や修正アップデートなどが公開された場合は迅速に適用することが推奨される。