さらに11月には、Javaのライブラリである「Apache Commons Collections」に任意のコードを実行できる大きな脆弱性が見つかり、多くの注目を集めました。11月は、この対応に追われた人も多かったかもしれません。
なぜ一つのライブラリの脆弱性がここまで大きな騒ぎを呼んだのかというと、このライブラリがJavaを使ったWebサイト開発でよく用いられる「WebLogic」「WebSphere」「JBoss」「Jenkins」「OpenNMS」などの多くのミドルウエアで使用されているからです。
しかも、各ミドルウエアに向けた攻撃の実証コードがすでに公開されていたため、該当のミドルウエアを使用していたWebサイトの関係者は、直ちに対応する必要がありました。
実は、これらの情報は2015年1月には公開されていたようなのですが、その時点では特に注目されず、11月に入ってから、偶然誰かが見つけたというのが実態のようです。
この脆弱性は、「デシリアライズ」という機能の実装に起因するものですが、「問題の根本はどこにあるのか」という点が議論の対象になりました。「ユーザー入力をチェックせずにシリアライズするライブラリの実装に問題がある」という意見があった一方で、「Java APIのデシリアライズ機構自体に問題がある」とする意見もありました。
また、ユーザー入力をどのようにシリアライズ/デシリアライズするべきかというテーマに関して、盛んに意見が交換されました。
さらに、過去にPerlやPHPなどの別言語でも同様の問題が起こっていたことについて言及するツイートもありました。
この他にも、2015年11月のセキュリティクラスターは以下のような話題で盛り上がっていました。12月はどのようなことが起きるのでしょうね。
山本洋介山
猫と一緒に自宅の警備をする傍ら、「twitterセキュリティネタまとめ」というブログを日々更新しているtwitterウォッチャー。セキュリティやネットワークに関する原稿も書いています。
Copyright © ITmedia, Inc. All Rights Reserved.