dd-trace-javaは、Java用のDatadog APMクライアントです。dd-trace-javaのバージョン0.40.0から1.60.2未満のバージョンでは、RMI計測がカスタムエンドポイントを登録し、シリアライズフィルターを適用せずに受信データをデシリアライズしていました。JDKバージョン16およびそれ以前では、攻撃者がインストルメント化されたJVMのJMXまたはRMIポートにネットワークアクセスできる場合、これを悪用してリモートコード実行を引き起こす可能性があります。脆弱性を悪用するには、以下の3つの条件がすべて成立しなければなりません。まず、dd-trace-javaがJava 16以下のJavaエージェント(`-javaagent`)としてアタッチされていること。次に、`-Dcom.sun.management.jmxremote.port`でJMX/RMIポートが明示的に構成されており、ネットワークからアクセス可能であること。最後に、gadget-chain互換のライブラリがクラスパスに存在していることです。JDK 17以降の場合は対応不要ですが、アップグレードが強く推奨されます。JDK 8u121以上かつJDK 17未満の場合は、dd-trace-javaバージョン1.60.3以降にアップグレードしてください。シリアライズフィルターが利用できないJDK 8u121未満およびそれ以前の場合は、回避策を適用してください。回避策は、次の環境変数を設定してRMI統合を無効にすることです:`DD_INTEGRATION_RMI_ENABLED=false`。
|