Anfang 2015, die Sicherheitsforscher Gabriel Lawrence und Chris Frohoff ergab eine Remotecodeausführung vor, die über die Apache Commons Sammlungen genutzt werden könnten. Letzteres ist nur eine der bekanntesten und am weitesten verbreiteten Java-Bibliotheken.
Später 2015, Experten berichtet, ein Problem, das aus Java-Anwendungen anfällig für Sicherheitslücken. Der Grund dafür war die Art, wie die Entwickler behandelt Benutzer gelieferten deserialisierte Daten über den Apache-Bibliothek.
Was ist Serialisierung in Java?
Serialisierung ist der Prozess der Umwandlung eines Objekts in einer Folge von Bytes, die auf einer Festplatte oder einer Datenbank beibehalten werden kann, oder durch Ströme geschickt werden. Der umgekehrte Vorgang der Schaffung eines Objektes aus einer Sequenz von Bytes synchronisiert Deserialisierung.
Die vorläufig als Verwundbarkeit hat ein gewisses Bewusstsein angehoben (aber bei weitem nicht genug,) in der Java-Community. Jedoch, da das Thema war nicht gerade ein Bug in der Bibliothek, nichts außer Warn anderen Entwicklern durchgeführt werden.
70 Bibliotheken enthalten die Apache Gemeinsame Sammlungen
Die Frage ist nun im Rahmen sogar noch größer, da 70 anderen Bibliotheken haben das gleiche Problem bei der Arbeit mit vom Benutzer angegebenen deserialisierte Daten. Einige der beliebtesten Bibliotheken enthalten Apache Hadoop, Apache HBase, OpenJPA, Jasperreports, Frühling XD, etc.
Das Problem ist, dass alle diese Bibliotheken umfassen die Apache Gemeinsame Sammlungen in ihrem Code, damit die Anwendung funktioniert Handhabung benutzerLieferant deserialisiert Daten. Es ist wichtig zu beachten, dass dies nicht die Bibliotheken anfällig machen. Probleme erscheinen, wenn solche Anwendungen nicht vom Benutzer gelieferten Daten zu desinfizieren, bevor Deserialisieren Sie es mit einer der 70 Bibliotheken.
Forscher weisen darauf hin, dass Erkennen Java-Deserialisierung Schwachstellen ist eine schwierige Aufgabe. Das Problem ist eher ein blinder Fleck, der Forscher verlässt in einer schlechten Position, da Angreifer beginnen jetzt auf Entwicklern und der Open-Source-Code, die sie verwenden möchten konzentrieren.
Hier ist die Liste aller betroffenen Bibliotheken: Klicken Sie auf dem Akkordeon, damit sie angezeigt
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel!
Folgen Sie Milena @Milenyim
Diese Website verwendet Cookies, um die Benutzererfahrung zu verbessern. Durch die Nutzung unserer Website erklären Sie sich mit allen Cookies gemäß unserer
Datenschutz-Bestimmungen.