情報処理推進機構(IPA)とJPCERTコーディネートセンターが運営する脆弱性情報サイト「JVN」は2015年11月16日、Javaアプリケーション開発に広く使われているライブラリーの「Apache Commons Collections(ACC)」のデータ処理に脆弱性があるとして、注意喚起する文書を出した。インターネット経由で不正なデータを受け取った場合に、端末・サーバー内で任意のJavaコードを実行される可能性がある。

 ACC 3.2.1と4.0の両方がこの脆弱性の影響を受ける。ACCを使っており脆弱性の影響を受ける具体的な製品名として、JVNは「WebSphere」「Jenkins」「WebLogic」「OpenNMS」を挙げている。

 これ以外にもACCを使用しているソフトウエアは数多く存在するとみられる。ACCを直接使用していなくても、端末・サーバーの「クラスパス指定」でアクセスできる範囲内にACCが存在するだけでも、脆弱性の影響を受ける可能性がある。

 脆弱性は、インターネット経由で受け取ったXMLなどのデータをJava内部で扱えるように変換する「デシリアライズ」と呼ばれる処理に起因する。サイバー攻撃などの目的で細工を施したデータを受け取ってデシリアライズが行われると、システムへの侵入を許してしまう可能性がある。

 JVNは、Java以外にPythonやRubyなどのプログラミング言語で書かれたライブラリーやソフトでも同様の問題が存在する可能性があると指摘。「使用するプログラミング言語やライブラリーにかかわらず、ソフトウエアを設計する段階から、データのシリアライズ機能について十分に考慮することが重要」だとしている。

 シリアライズ/デシリアライズという基礎的な処理に起因する脆弱性だけに、影響を回避するには、アプリケーション設計を見直すなどの大掛かりな対策が必要になる。このため、影響が長引く可能性がある。