"Meistunterschätzes" Java-Loch trifft Cisco hart

Cisco hat gestern in einem Advisory bekannt gegeben, dass möglicherweise eine Vielzahl seiner Produkte eine gemeinsame Sicherheitslücke aufweist. Cisco hat damit begonnen, zu untersuchen, welche seiner Produkte genau betroffen sind. Die Liste der potentiellen Kandidaten ist ellenlang und umfasst fast alle-Cisco-Produktelinien, von WebEx-Meetings und anderen Cloudservices über Netzwerk-Management-Produkte bis zu Switches, Routern und IP-Telefonen. Auch die Liste der bisher entdeckten tatsächlich betroffenen Produkte ist schon ziemlich lang.

Workarounds, um die Gefahr zu beheben, gibt es laut Cisco nicht. Der Netzwerkriese arbeite an Softwareupdates, welche die Lücke schliessen sollen.
 
Die Sicherheitslücke steckt in der "Java Deserialization"-Technik, die in den Apache Commons Collections (ACC)-Libraries verwendet wird. Laut Cisco könnte sie Angreifern erlauben, auf betroffenen Systemen eigenen Code einzuschleusen und auszuführen. Genauere Beschreibungen der Lücke findet man im Cisco-Advisory und im unten erwähnten Blogpost von FoxGlove.
 
Das Security-Unternehmen FoxGlove hat bereits Anfang November mit einem Blogpost versucht, in der Security-Szene mehr Aufmerksamkeit für diese Lücke zu schaffen. FoxGlove bezeichnete sie als die meistunterschätze und "unterhypte" Sicherheitslücke des Jahres. Laut FoxGlove betrifft das Problem auch weitverbreitete Softwareprodukte wie WebLogic, WebSphere oder Jboss sowie viele Custom-Applikationen. Proof-of-Concept-Code zur Ausnützung der Schwachstelle sei schon neun Monate vorher veröffentlicht worden, aber trotzdem seien die betroffenen Libraries bisher nicht gepatcht worden. (hjm)