Casa > Cyber ​​Notizie > Grave vulnerabilità nella deserializzazione di Java scoperta in 70 Biblioteche
CYBER NEWS

Grave vulnerabilità Java deserializzazione Scoperti in 70 Biblioteche

All'inizio 2015, i ricercatori di sicurezza Gabriel Lawrence e Chris Frohoff rivelato una vulnerabilità legata all'esecuzione di codice in modalità remota che potrebbe essere sfruttata tramite i Apache Commons Collezioni. Quest'ultimo è solo una delle librerie Java più noti e ampiamente utilizzati.

apache-commons-collezioni-vulnerabilità

Più tardi, nel 2015, gli esperti hanno segnalato un problema che rendeva applicazioni Java vulnerabile a falle di sicurezza. Il motivo è stato il modo in cui gli sviluppatori trattati dati deserializzato forniti dall'utente tramite la libreria Apache.

Che cosa è serializzazione in Java?

La serializzazione è il processo di trasformare un oggetto in una sequenza di byte che possono essere persistito su un disco o in un database, oppure può essere inviata attraverso flussi. Il processo inverso di creazione di un oggetto da una sequenza di byte è doppiato deserializzazione.

Il provvisoriamente chiamato vulnerabilità ha sollevato una certa consapevolezza (ma tutt'altro che sufficiente) nella comunità Java. Tuttavia, dal momento che il problema non era esattamente un bug nella libreria, nulla poteva essere fatto salvo avvertimento altri sviluppatori.

70 Biblioteche Includere gli Apache Collezioni comuni

La questione è ora ancora più grande in ambito dal 70 altre librerie hanno lo stesso problema quando si lavora con i dati forniti dall'utente deserializzato. Alcune delle librerie più popolari includono Apache Hadoop, Hbase, OpenJPA, JasperReports, Primavera XD, etc.

Il problema è che tutte queste librerie sono le Apache Collezioni comuni nel loro codice, applicando così le funzioni di gestione user-fornitore deserializzati dati. È importante notare che questo non rende le librerie vulnerabili. Problemi vengono visualizzate quando tali applicazioni non sterilizzare i dati forniti dall'utente prima di deserializzazione con uno dei 70 biblioteche.

I ricercatori osservano inoltre che la rilevazione delle vulnerabilità Java di deserializzazione è un lavoro difficile. Il problema è più di un punto cieco che lascia i ricercatori in una brutta posizione in quanto gli aggressori stanno iniziando a concentrarsi sul sviluppatori e al codice open source che piace usare.

Ecco la lista di tutte le biblioteche interessate:
Clicca sulla fisarmonica per vederlo

Biblioteche
Nome – Versione
Directory Apache API Tutto – 1.0.0-M31
Directory Apache API Tutto – 1.0.0-M32
Apache Jena – Fuseki server autonomo Jar – 2.0.0
Apache Jena – Fuseki server autonomo Jar – 2.3.0
flink-core – 0.9.0-hadoop1
flink-core – 0.9.0
flink-ombreggiato-include-filato – 0.9.0
flink-ombreggiato-include-filato – 0.9.0-pietra miliare-1
jcaptcha-tutto – 1.0-RC6
jcaptcha-tutto – 1.0-RC5
Mule core – 2.1.0
Mule core – 2.1.2
Trasporti JMS – 3.0.0-M2-20091124
Trasporti JMS – 3.3-M1
Primavera XD DIRT – 1.0.3.USCITA
Primavera XD DIRT – 1.0.4.USCITA
WebX All-in-one Bundle – 3.2.3
WebX All-in-one Bundle – 3.0.14
Hadoop MapReduce-client-core – 2.6.2
Hadoop MapReduce-client-core – 2.6.0
Commons BeanUtils core – 1.8.3
Commons BeanUtils core – 1.8.2
Apache Hadoop Comune – 2.6.2
Apache Hadoop Comune – 2.5.2
Commons Collections – 20031027
Commons Collections – 3.2.1
OpenJPA Utilità Biblioteca – 2.3.0
OpenJPA Utilità Biblioteca – 2.2.2
OpenJPA Kernel – 2.3.0
OpenJPA Kernel – 2.2.2
OpenJPA Persistenza – 1.2.3
JasperReports – 6.2.0
JasperReports – 6.0.2
Isis Metamodello – 1.0.0
Isis Metamodello – 1.1.0
Valore automatico – 1
Valore automatico – 1.0-rc4
Nucleo – 1.6.2
Nucleo – 1.6.1
velocità:velocità-dep – 1.5-beta2
Apache Commons Collezioni – 4
HBase – Comune – 0.98.9-hadoop1
HBase – Comune – 0.98.7-hadoop1
Apache directory LDAP condivisa – 0.9.11
org.springframework:molla – 2.5.6.SEC03
org.springframework:molla – 2.5.6.SEC02
Apache MyFaces JSF core da 2.2 Impl – 1.2.5
Apache MyFaces JSF core da 2.2 Impl – 2.2.7
jung-visualizzazione – 2.0.1
jung-visualizzazione – 2
HBase – Server 0.98.10.1-hadoop2
HBase – Server 0.98.7-hadoop2
maiale org.apache.pig – 0.15.0
com.google.gwt gwt-dev – 2.7.0
larvalabs Collezioni – 4.01
quarzo org.opensymphony.quartz – 1.6.1
Apache Commons BeanUtils – 1.9.2
Apache Commons BeanUtils – 1.9.1
Apache Crunch core – 0.13.0
JasperReports – 3.5.2
JasperReports – 3.5.1
Implementazione ApacheDS MVCC BTree – 1.0.0-M7
ApacheDS Tutto – 2.0.0-M18
ApacheDS Tutto – 2.0.0-M17
ESAPI – 2.1.0
ESAPI – 2.0.1
OpenJPA Jar Aggregate – 2.3.0
OpenJPA Jar Aggregate – 2.2.2
quarzo – 1.6.3
quarzo – 1.6.0

Riferimenti

SoftPedia

Milena Dimitrova

Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim

Altri messaggi

Seguimi:
Cinguettio

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our politica sulla riservatezza.
Sono d'accordo