Zuhause > Cyber ​​Aktuelles > Schwerwiegende Java-Deserialisierungs-Schwachstelle in . aufgedeckt 70 Bibliotheken
CYBER NEWS

Serious Java-Deserialisierung Sicherheitsanfälligkeit in Uncovered 70 Bibliotheken

Anfang 2015, die Sicherheitsforscher Gabriel Lawrence und Chris Frohoff ergab eine Remotecodeausführung vor, die über die Apache Commons Sammlungen genutzt werden könnten. Letzteres ist nur eine der bekanntesten und am weitesten verbreiteten Java-Bibliotheken.

Apache-Commons-Sammlungen-Verwundbarkeit

Später 2015, Experten berichtet, ein Problem, das aus Java-Anwendungen anfällig für Sicherheitslücken. Der Grund dafür war die Art, wie die Entwickler behandelt Benutzer gelieferten deserialisierte Daten über den Apache-Bibliothek.

Was ist Serialisierung in Java?

Serialisierung ist der Prozess der Umwandlung eines Objekts in einer Folge von Bytes, die auf einer Festplatte oder einer Datenbank beibehalten werden kann, oder durch Ströme geschickt werden. Der umgekehrte Vorgang der Schaffung eines Objektes aus einer Sequenz von Bytes synchronisiert Deserialisierung.

Die vorläufig als Verwundbarkeit hat ein gewisses Bewusstsein angehoben (aber bei weitem nicht genug,) in der Java-Community. Jedoch, da das Thema war nicht gerade ein Bug in der Bibliothek, nichts außer Warn anderen Entwicklern durchgeführt werden.

70 Bibliotheken enthalten die Apache Gemeinsame Sammlungen

Die Frage ist nun im Rahmen sogar noch größer, da 70 anderen Bibliotheken haben das gleiche Problem bei der Arbeit mit vom Benutzer angegebenen deserialisierte Daten. Einige der beliebtesten Bibliotheken enthalten Apache Hadoop, Apache HBase, OpenJPA, Jasperreports, Frühling XD, etc.

Das Problem ist, dass alle diese Bibliotheken umfassen die Apache Gemeinsame Sammlungen in ihrem Code, damit die Anwendung funktioniert Handhabung benutzerLieferant deserialisiert Daten. Es ist wichtig zu beachten, dass dies nicht die Bibliotheken anfällig machen. Probleme erscheinen, wenn solche Anwendungen nicht vom Benutzer gelieferten Daten zu desinfizieren, bevor Deserialisieren Sie es mit einer der 70 Bibliotheken.

Forscher weisen darauf hin, dass Erkennen Java-Deserialisierung Schwachstellen ist eine schwierige Aufgabe. Das Problem ist eher ein blinder Fleck, der Forscher verlässt in einer schlechten Position, da Angreifer beginnen jetzt auf Entwicklern und der Open-Source-Code, die sie verwenden möchten konzentrieren.

Hier ist die Liste aller betroffenen Bibliotheken:
Klicken Sie auf dem Akkordeon, damit sie angezeigt

Bibliotheken
Name – Version
Apache Directory API All – 1.0.0-M31
Apache Directory API All – 1.0.0-M32
Apache Jena – Fuseki Server Standalone Jar – 2.0.0
Apache Jena – Fuseki Server Standalone Jar – 2.3.0
Flink-Core- – 0.9.0-hadoop1
Flink-Core- – 0.9.0
flink beschatteten-zählen-Garn – 0.9.0
flink beschatteten-zählen-Garn – 0.9.0-Meilenstein-1
JCaptcha-all – 1.0-RC6
JCaptcha-all – 1.0-RC5
Mule Kern – 2.1.0
Mule Kern – 2.1.2
JMS-Transport – 3.0.0-M2-20091124
JMS-Transport – 3.3-M1
Frühling XD DIRT – 1.0.3.FREISETZUNG
Frühling XD DIRT – 1.0.4.FREISETZUNG
Webx All-in-one-Bundle – 3.2.3
Webx All-in-one-Bundle – 3.0.14
Hadoop-verkleinern-client-Kern – 2.6.2
Hadoop-verkleinern-client-Kern – 2.6.0
Commons BeanUtils Kern – 1.8.3
Commons BeanUtils Kern – 1.8.2
Apache Hadoop Gemeinsame – 2.6.2
Apache Hadoop Gemeinsame – 2.5.2
Commons Sammlungen – 20031027
Commons Sammlungen – 3.2.1
OpenJPA Dienstprogramme Bibliothek – 2.3.0
OpenJPA Dienstprogramme Bibliothek – 2.2.2
OpenJPA Kernel – 2.3.0
OpenJPA Kernel – 2.2.2
OpenJPA Persistence – 1.2.3
Jasperreports – 6.2.0
Jasperreports – 6.0.2
Isis MetaModel – 1.0.0
Isis MetaModel – 1.1.0
Autovalue – 1
Autovalue – 1.0-RC4
Ader – 1.6.2
Ader – 1.6.1
Geschwindigkeit:Geschwindigkeit-dep – 1.5-beta2
Apache Commons Sammlungen – 4
HBase – Gemeinsam – 0.98.9-hadoop1
HBase – Gemeinsam – 0.98.7-hadoop1
Apache Directory freigegebenen LDAP – 0.9.11
org.springframework:Feder – 2.5.6.SEC03
org.springframework:Feder – 2.5.6.SEC02
Apache MyFaces JSF-Core 2.2-Impl – 1.2.5
Apache MyFaces JSF-Core 2.2-Impl – 2.2.7
jung-Visualisierung – 2.0.1
jung-Visualisierung – 2
HBase – Server 0.98.10.1-hadoop2
HBase – Server 0.98.7-hadoop2
org.apache.pig Schwein – 0.15.0
com.google.gwt GWT-dev – 2.7.0
larvalabs Sammlungen – 4.01
org.opensymphony.quartz Quarz – 1.6.1
Apache Commons BeanUtils – 1.9.2
Apache Commons BeanUtils – 1.9.1
Apache Crunch Kern – 0.13.0
Jasperreports – 3.5.2
Jasperreports – 3.5.1
ApacheDS MVCC BTree Umsetzung – 1.0.0-M7
ApacheDS All – 2.0.0-M18
ApacheDS All – 2.0.0-M17
ESAPI – 2.1.0
ESAPI – 2.0.1
OpenJPA Aggregate Jar – 2.3.0
OpenJPA Aggregate Jar – 2.2.2
Quarz – 1.6.3
Quarz – 1.6.0

Referenzen

SoftPedia

Milena Dimitrova

Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim

Mehr Beiträge

Folge mir:
Zwitschern

Schreibe einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Diese Website verwendet Cookies, um die Benutzererfahrung zu verbessern. Durch die Nutzung unserer Website erklären Sie sich mit allen Cookies gemäß unserer Datenschutz-Bestimmungen.
Genau