Вчера в блоге Apache FSF появилась интересная [запись][1]. Уязвимым оказалось практически все ПО, которое использует сериализацию и десереализацию данных совместно с apache commons collections и некоторыми другими библиотеками. Сама уязвимость [была описана][2] 6 ноября, а сегодня Oracle [выпустил][3] первые патчи к WebLogic.

### Кратко

**Тип**: Удаленное исполнение кода **Опасность**: высокая **Уязвимое ПО**: Oracle WebLogic, IBM WebSphere, JBoss, Jenkins, OpenNMS и другое ПО с commons collections в classpath. **Описание**: Уязвимость позволяет злоумышленнику создать такой пакет сериализованных данных, который при распаковке заставит уязвимый сервер исполнить произвольный код. [Читать дальше →][4]

[1]: https://blogs.apache.org/foundation/entry/apache_commons_statement_to_widespread
[2]: http://foxglovesecurity.com/2015/11/06/what-do-weblogic-websphere-jboss-jenkins-opennms-and-your-application-have-in-common-this-vulnerability/
[3]: http://www.oracle.com/technetwork/topics/security/alert-cve-2015-4852-2763333.html?elq_mid=31779&sh=2623141813826231418131513266106&cmid=WWMK14064193MPP032C013
[4]: http://habrahabr.ru/post/270679/#habracut