Hjem > Cyber ​​Nyheder > Alvorlig Java Deserialization Sårbarhed Ikke afdækket i 70 Biblioteker
CYBER NEWS

Alvorlig Java deserialization Sårbarhed Uncovered i 70 Biblioteker

I begyndelsen af 2015, de sikkerhedsmæssige forskere Gabriel Lawrence og Chris Frohoff afslørede en fjernkørsel sårbarhed, der kan udnyttes via Apache Commons Samlinger. Sidstnævnte er blot en af ​​de mest kendte og udbredte Java-biblioteker.

Apache-commons-samlinger-sårbarhed

Senere i 2015, eksperter rapporterede om et problem, der gjorde Java apps sårbare over for sikkerhedshuller. Årsagen var den måde, udviklerne håndteret brugeren leveret serialiseret data via Apache biblioteket.

Hvad er serialisering i Java?

Serialisering er processen med at gøre et objekt i en sekvens af bytes, der kan varet til en disk eller database, eller kan sendes via vandløb. Den omvendte proces med at skabe et objekt fra en sekvens af bytes er døbt deserialization.

Den tentativt kaldet sårbarhed har rejst nogle bevidstheden (men langt fra nok) i Java samfund. Men, da spørgsmålet var ikke ligefrem en fejl i biblioteket, intet kunne gøres undtagelse advare andre udviklere.

70 Biblioteker Medtag Apache Fælles samlinger

Spørgsmålet er nu endnu større i omfang siden 70 andre biblioteker har det samme problem, når der arbejdes med brugerdreven leveret serialiseret data. Nogle af de mest populære biblioteker omfatter Apache Hadoop, Apache HBase, OpenJPA, JasperReports, Spring XD, etc.

Problemet er, at alle disse biblioteker omfatter Apache Fælles samlinger i deres kode, således at anvende funktioner, der håndterer bruger-leverandør serialiseret data. Det er vigtigt at bemærke, at dette ikke gør bibliotekerne sårbare. Spørgsmål vises, når sådanne ansøgninger ikke fornuftighedskontrollerede brugerdefinerede leveret data, før deserializing det med en af ​​de 70 biblioteker.

Forskere bemærker også, at påvisning af Java deserialization sårbarheder er en vanskelig opgave. Problemet er mere af en blind plet, der efterlader forskerne i en dårlig position, da angriberne nu er begyndt at fokusere på udviklere og open source kode, de kan lide at bruge.

Her er en liste over alle berørte biblioteker:
Klik på harmonika for at se den

Biblioteker
Navn – Version
Apache Vejviser API Alle – 1.0.0-M31
Apache Vejviser API Alle – 1.0.0-M32
Apache Jena – Fuseki Server Standalone Jar – 2.0.0
Apache Jena – Fuseki Server Standalone Jar – 2.3.0
Flink-core – 0.9.0-hadoop1
Flink-core – 0.9.0
Flink-skraverede-omfatter-garn – 0.9.0
Flink-skraverede-omfatter-garn – 0.9.0-milepæl-1
jcaptcha-all – 1.0-RC6
jcaptcha-all – 1.0-RC5
Mule Core – 2.1.0
Mule Core – 2.1.2
JMS Transport – 3.0.0-M2-20091124
JMS Transport – 3.3-M1
Spring XD DIRT – 1.0.3.FRIGØRE
Spring XD DIRT – 1.0.4.FRIGØRE
Webx Alt-i-en Bundle – 3.2.3
Webx Alt-i-en Bundle – 3.0.14
Hadoop-MapReduce-client-core – 2.6.2
Hadoop-MapReduce-client-core – 2.6.0
Commons BeanUtils Core – 1.8.3
Commons BeanUtils Core – 1.8.2
Apache Hadoop Fælles – 2.6.2
Apache Hadoop Fælles – 2.5.2
Commons Samlinger – 20031027
Commons Samlinger – 3.2.1
OpenJPA Utilities Bibliotek – 2.3.0
OpenJPA Utilities Bibliotek – 2.2.2
OpenJPA Kernel – 2.3.0
OpenJPA Kernel – 2.2.2
OpenJPA Persistens – 1.2.3
JasperReports – 6.2.0
JasperReports – 6.0.2
Isis metamodel – 1.0.0
Isis metamodel – 1.1.0
AutoValue – 1
AutoValue – 1.0-RC4
Core – 1.6.2
Core – 1.6.1
hastighed:hastighed-dep – 1.5-beta2
Apache Commons Samlinger – 4
HBase – Fælles – 0.98.9-hadoop1
HBase – Fælles – 0.98.7-hadoop1
Apache Vejviser Delt LDAP – 0.9.11
org.springframework:forår – 2.5.6.SEC03
org.springframework:forår – 2.5.6.SEC02
Apache MyFaces JSF Core 2.2-impl – 1.2.5
Apache MyFaces JSF Core 2.2-impl – 2.2.7
jung-visualisering – 2.0.1
jung-visualisering – 2
HBase – Server 0.98.10.1-hadoop2
HBase – Server 0.98.7-hadoop2
org.apache.pig gris – 0.15.0
com.google.gwt GWT-dev – 2.7.0
larvalabs Samlinger – 4.01
org.opensymphony.quartz kvarts – 1.6.1
Apache Commons BeanUtils – 1.9.2
Apache Commons BeanUtils – 1.9.1
Apache Crunch Core – 0.13.0
JasperReports – 3.5.2
JasperReports – 3.5.1
ApacheDS MVCC BTree implementering – 1.0.0-M7
ApacheDS Alle – 2.0.0-M18
ApacheDS Alle – 2.0.0-M17
ESAPI – 2.1.0
ESAPI – 2.0.1
OpenJPA Aggregate Jar – 2.3.0
OpenJPA Aggregate Jar – 2.2.2
kvarts – 1.6.3
kvarts – 1.6.0

Referencer

Softpedia

Milena Dimitrova

En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim

Flere indlæg

Følg mig:
Twitter

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Fortrolighedspolitik.
Jeg er enig