Apache OpenMeetings Users Urged to Patch Critical Flaw – CVE-2024-54676 (CVSS 9.8)
2025/01/08 SecurityOnline — ビデオ会議などのコラボレーションで人気を博す、OSS プラットフォーム Apache OpenMeetings で、深刻なセキュリティ脆弱性 CVE-2024-54676 (CVSS:9.8) が発見された。この脆弱性の悪用に成功した攻撃者は、脆弱なシステム上で任意のコード実行を達成し、機密データの窃取やサービスの中断などを引き起こす可能性を手にする。
この脆弱性は、OpenMeetings のクラスター・モードにおける、信頼できないデータの不適切なデシリアライズに起因する。この問題の原因は、OpenMeetings で使用される Java 永続性フレームワーク OpenJPA の、ホワイトリスト/ブラックリストの不適切なコンフィグレーションにある。この脆弱性の悪用に成功した攻撃者は、悪意のコードをサーバに注入して実行させる可能性を得るという。
この脆弱性が影響を及ぼすクラスター・モードは、複数のサーバを連携させて高可用性とスケーラビリティを得る、エンタープライズ環境で多用されるため、特に懸念されている。この脆弱性の悪用に成功した攻撃者は、クラスター全体を完全に制御し、影響が大幅に拡大させる可能性を手にする。
すでに Apache OpenMeetings プロジェクトは、バージョン 8.0.0 をリリースし、脆弱性 CVE-2024-54676 に対処している。ユーザーに対して強く推奨されるのは、この最新バージョンへとアップグレードし、更新されたドキュメントに記載されるセキュリティ・コンフィグを実装することである。
これらのコンフィグを用いれば、起動スクリプトで “openjpa.serialization.class.blacklist” と “openjpa.serialization.class.whitelist” が指定され、デシリアライズされるデータ・タイプが制限されるようになる。
この脆弱性は、Tencent Yunding Lab の m0d9 により発見された。彼らの開示により、Apache OpenMeetings チームは、悪用にいたる前にパッチをリリースできたと述べている。
OpenJPA ホワイトリスト/ブラックリストの不適切なコンフィグにより、Apache OpenMeetings に不適切なデシリアライゼーションが生じ、コード注入などにいるとのことです。すでに、パッチ・バージョンとセキュリティ・コンフィグがリリースされています。ご利用のチームは、ご注意ください。よろしければ、OpenMeetings で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.