NVD脆弱性詳細

CVE-2015-6420

概要	Serialized-object interfaces in certain Cisco Collaboration and Social Media; Endpoint Clients and Client Software; Network Application, Service, and Acceleration; Network and Content Security Devices; Network Management and Provisioning; Routing and Switching - Enterprise and Service Provider; Unified Computing; Voice and Unified Communications Devices; Video, Streaming, TelePresence, and Transcoding Devices; Wireless; and Cisco Hosted Services products allow remote attackers to execute arbitrary commands via a crafted serialized Java object, related to the Apache Commons Collections (ACC) library.
公表日	2015年12月15日14:59
登録日	2021年1月26日14:54
最終更新日	2024年11月21日11:34

CVSS2.0 : HIGH
スコア	7.5
ベクター	AV:N/AC:L/Au:N/C:P/I:P/A:P
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	低
攻撃前の認証要否(Au)	不要
機密性への影響(C)	低
完全性への影響(I)	低
可用性への影響(A)	低
全ての特権を取得	いいえ
ユーザー権限を取得	いいえ
その他の権限を取得	いいえ
ユーザー操作が必要	いいえ

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:apache:commons_collections::::::::		3.2.1
cpe:2.3:a:apache:commons_collections:4.0:::::::*

関連情報、対策とツール

No	URL	タグ
1	http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20151209-java-deserialization	Third Party Advisory
2	http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20151209-java-deserialization	Third Party Advisory
3	http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html
4	http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html
5	http://www.securityfocus.com/bid/78872	Third Party Advisory VDB Entry
6	http://www.securityfocus.com/bid/78872	Third Party Advisory VDB Entry
7	https://h20566.www2.hpe.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_na-c05376917	Third Party Advisory
8	https://h20566.www2.hpe.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_na-c05376917	Third Party Advisory
9	https://h20566.www2.hpe.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_na-c05390722	Third Party Advisory
10	https://h20566.www2.hpe.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_na-c05390722	Third Party Advisory
11	https://lists.apache.org/thread.html/r352e40ca9874d1beb4ad95403792adca7eb295e6bc3bd7b65fabcc21%40%3Ccommits.samza.apache.org%3E
12	https://lists.apache.org/thread.html/r352e40ca9874d1beb4ad95403792adca7eb295e6bc3bd7b65fabcc21%40%3Ccommits.samza.apache.org%3E
13	https://www.kb.cert.org/vuls/id/581311
14	https://www.kb.cert.org/vuls/id/581311
15	https://www.tenable.com/security/research/tra-2017-14	Third Party Advisory
16	https://www.tenable.com/security/research/tra-2017-14	Third Party Advisory
17	https://www.tenable.com/security/research/tra-2017-23	Third Party Advisory
18	https://www.tenable.com/security/research/tra-2017-23	Third Party Advisory

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-502	信頼性のないデータのデシリアライゼーション	https://cwe.mitre.org/data/definitions/502.html

JVN脆弱性情報

複数の Cisco 製品のシリアル化されたオブジェクトのインターフェースにおける任意のコマンドを実行される脆弱性

タイトル	複数の Cisco 製品のシリアル化されたオブジェクトのインターフェースにおける任意のコマンドを実行される脆弱性
概要	複数の Cisco 製品のシリアル化されたオブジェクトのインターフェースには、任意のコマンドを実行される脆弱性が存在します。本件は、Apache Commons Collections (ACC) ライブラリの問題に関する脆弱性です。補足情報 : CWE による脆弱性タイプは、CWE-502: Deserialization of Untrusted Data (信頼性のないデータのデシリアライゼーション) と識別されています。 http://cwe.mitre.org/data/definitions/502.html
想定される影響	第三者により、巧妙に細工されたシリアル化された Java オブジェクトを介して、任意のコマンドを実行される可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2015年11月10日0:00
登録日	2015年12月18日15:35
最終更新日	2018年9月28日17:26

影響を受けるシステム

Apache Software Foundation

Apache Commons Collections 3.2.1 およびそれ以前

Apache Commons Collections 4.0 およびそれ以前

日本電気

CapsSuite

InfoFrame Relational Store

SystemDirector Enterprise

WebOTX

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2015-6420	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-6420
National Vulnerability Database (NVD)
2	CVE-2015-6420	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-6420

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-Other	https://www.ipa.go.jp/security/vuln/CWE.html#CWEOther

ベンダー情報

No	名前	URL
Apache Commons Collections
1	Top Page	http://commons.apache.org/proper/commons-collections/
Cisco Security Advisory
2	cisco-sa-20151209-java-deserialization	http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20151209-java-deserialization
NEC製品セキュリティ情報
3	NV16-002	http://jpn.nec.com/security-info/secinfo/nv16-002.html
The Apache Software Foundation Blog
4	Apache Commons statement to widespread Java object de-serialisation vulnerability	https://blogs.apache.org/foundation/entry/apache_commons_statement_to_widespread

その他

No	名前	URL
JVN
1	JVNVU#94276522	http://jvn.jp/vu/JVNVU94276522/index.html
2	JVNVU#96340370	https://jvn.jp/vu/JVNVU96340370/index.html
US-CERT Vulnerability Note
3	VU#576313	https://www.kb.cert.org/vuls/id/576313

変更履歴

No	変更内容	変更日
0	[2015年12月18日] 掲載 [2016年04月05日] ベンダ情報：不要なリンク情報を削除 [2017年11月09日] 影響を受けるシステム：ベンダ情報の追加に伴い内容を更新ベンダ情報：日本電気 (NV16-002) を追加 [2018年02月07日] 影響を受けるシステム：ベンダ情報 (NV16-002) の更新に伴い内容を更新	2018年2月17日10:37
1	[2018年09月28日] 参考情報：JVN (JVNVU#96340370) を追加	2018年9月28日17:06