NVD Vulnerability Detail

CVE-2015-6420

Summary	Serialized-object interfaces in certain Cisco Collaboration and Social Media; Endpoint Clients and Client Software; Network Application, Service, and Acceleration; Network and Content Security Devices; Network Management and Provisioning; Routing and Switching - Enterprise and Service Provider; Unified Computing; Voice and Unified Communications Devices; Video, Streaming, TelePresence, and Transcoding Devices; Wireless; and Cisco Hosted Services products allow remote attackers to execute arbitrary commands via a crafted serialized Java object, related to the Apache Commons Collections (ACC) library.
Publication Date	Dec. 15, 2015, 2:59 p.m.
Registration Date	Jan. 26, 2021, 2:54 p.m.
Last Update	Nov. 21, 2024, 11:34 a.m.

CVSS2.0 : HIGH
Score	7.5
Vector	AV:N/AC:L/Au:N/C:P/I:P/A:P
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	低
攻撃前の認証要否(Au)	不要
機密性への影響(C)	低
完全性への影響(I)	低
可用性への影響(A)	低
Get all privileges.	いいえ
Get user privileges	いいえ
Get other privileges	いいえ
User operation required	いいえ

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:apache:commons_collections::::::::		3.2.1
cpe:2.3:a:apache:commons_collections:4.0:::::::*

Related information, measures and tools

No	URL	タグ
1	http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20151209-java-deserialization	Third Party Advisory
2	http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20151209-java-deserialization	Third Party Advisory
3	http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html
4	http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html
5	http://www.securityfocus.com/bid/78872	Third Party Advisory VDB Entry
6	http://www.securityfocus.com/bid/78872	Third Party Advisory VDB Entry
7	https://h20566.www2.hpe.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_na-c05376917	Third Party Advisory
8	https://h20566.www2.hpe.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_na-c05376917	Third Party Advisory
9	https://h20566.www2.hpe.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_na-c05390722	Third Party Advisory
10	https://h20566.www2.hpe.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_na-c05390722	Third Party Advisory
11	https://lists.apache.org/thread.html/r352e40ca9874d1beb4ad95403792adca7eb295e6bc3bd7b65fabcc21%40%3Ccommits.samza.apache.org%3E
12	https://lists.apache.org/thread.html/r352e40ca9874d1beb4ad95403792adca7eb295e6bc3bd7b65fabcc21%40%3Ccommits.samza.apache.org%3E
13	https://www.kb.cert.org/vuls/id/581311
14	https://www.kb.cert.org/vuls/id/581311
15	https://www.tenable.com/security/research/tra-2017-14	Third Party Advisory
16	https://www.tenable.com/security/research/tra-2017-14	Third Party Advisory
17	https://www.tenable.com/security/research/tra-2017-23	Third Party Advisory
18	https://www.tenable.com/security/research/tra-2017-23	Third Party Advisory

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-502	信頼性のないデータのデシリアライゼーション	https://cwe.mitre.org/data/definitions/502.html

JVN Vulnerability Information

複数の Cisco 製品のシリアル化されたオブジェクトのインターフェースにおける任意のコマンドを実行される脆弱性

Title	複数の Cisco 製品のシリアル化されたオブジェクトのインターフェースにおける任意のコマンドを実行される脆弱性
Summary	複数の Cisco 製品のシリアル化されたオブジェクトのインターフェースには、任意のコマンドを実行される脆弱性が存在します。本件は、Apache Commons Collections (ACC) ライブラリの問題に関する脆弱性です。補足情報 : CWE による脆弱性タイプは、CWE-502: Deserialization of Untrusted Data (信頼性のないデータのデシリアライゼーション) と識別されています。 http://cwe.mitre.org/data/definitions/502.html
Possible impacts	第三者により、巧妙に細工されたシリアル化された Java オブジェクトを介して、任意のコマンドを実行される可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	Nov. 10, 2015, midnight
Registration Date	Dec. 18, 2015, 3:35 p.m.
Last Update	Sept. 28, 2018, 5:26 p.m.

Affected System

Apache Software Foundation

Apache Commons Collections 3.2.1 およびそれ以前

Apache Commons Collections 4.0 およびそれ以前

日本電気

CapsSuite

InfoFrame Relational Store

SystemDirector Enterprise

WebOTX

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2015-6420	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-6420
National Vulnerability Database (NVD)
2	CVE-2015-6420	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-6420

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-Other	https://www.ipa.go.jp/security/vuln/CWE.html#CWEOther

ベンダー情報

No	Name	URL
Apache Commons Collections
1	Top Page	http://commons.apache.org/proper/commons-collections/
Cisco Security Advisory
2	cisco-sa-20151209-java-deserialization	http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20151209-java-deserialization
NEC製品セキュリティ情報
3	NV16-002	http://jpn.nec.com/security-info/secinfo/nv16-002.html
The Apache Software Foundation Blog
4	Apache Commons statement to widespread Java object de-serialisation vulnerability	https://blogs.apache.org/foundation/entry/apache_commons_statement_to_widespread

その他

No	Name	URL
JVN
1	JVNVU#94276522	http://jvn.jp/vu/JVNVU94276522/index.html
2	JVNVU#96340370	https://jvn.jp/vu/JVNVU96340370/index.html
US-CERT Vulnerability Note
3	VU#576313	https://www.kb.cert.org/vuls/id/576313

Change Log

No	Changed Details	Date of change
0	[2015年12月18日] 掲載 [2016年04月05日] ベンダ情報：不要なリンク情報を削除 [2017年11月09日] 影響を受けるシステム：ベンダ情報の追加に伴い内容を更新ベンダ情報：日本電気 (NV16-002) を追加 [2018年02月07日] 影響を受けるシステム：ベンダ情報 (NV16-002) の更新に伴い内容を更新	Feb. 17, 2018, 10:37 a.m.
1	[2018年09月28日] 参考情報：JVN (JVNVU#96340370) を追加	Sept. 28, 2018, 5:06 p.m.