JBoss Application Server

Die Schwachstelle steckt im JBoss Application Server von Red Hat, genauer im HTTP-Invoker-Baustein. Dort prüft die Methode doFilter im sogenannten ReadOnlyAccessFilter nicht, welche Klassen sie beim Deserialisieren – also beim Wiedereinlesen zuvor in einen Datenstrom umgewandelter Objekte – zulässt. Weil diese Einschränkung fehlt, kann ein Angreifer eigens präparierte serialisierte Daten an den Server schicken. Beim Verarbeiten dieser Daten erzeugt der Server daraus Objekte, die er nicht hätte annehmen dürfen, und führt dabei vom Angreifer untergeschobenen Code aus. Im Ergebnis lässt sich auf dem betroffenen Anwendungsserver beliebiger Code ausführen. Betroffen ist der JBoss Application Server in der Ausführung, wie sie mit der Enterprise Application Platform von Red Hat ausgeliefert wird. Da der HTTP-Invoker über das Netzwerk angesprochen wird, ist dieser Angriffsweg aus der Ferne nutzbar und macht die Komponente zu einem exponierten Angriffspunkt.