Casa > Ciber Noticias > Se descubre una grave vulnerabilidad de deserialización de Java en 70 Bibliotecas
CYBER NOTICIAS

Grave Java deserialización vulnerabilidad descubierta en 70 Bibliotecas

En el principio de 2015, los investigadores de seguridad Gabriel Lawrence y Chris Frohoff revelaron una vulnerabilidad de ejecución remota de código que podría ser explotado a través de los Apache Commons Colecciones. Esta última es sólo una de las bibliotecas de Java más conocidos y ampliamente usados.

Apache-commons-collections-vulnerabilidad

Más tarde 2015, expertos reportaron un problema que hace aplicaciones Java vulnerables a los agujeros de seguridad. La razón era la forma en que los desarrolladores manejan datos deserializados suministrados por el usuario a través de la biblioteca Apache.

¿Qué es la serialización en Java?

La serialización es el proceso de convertir un objeto en una secuencia de bytes que se pueden persistió en un disco o base de datos, o puede ser enviado a través de corrientes. El proceso inverso de la creación de un objeto a partir de una secuencia de bytes es apodado deserialización.

El denominado provisionalmente vulnerabilidad ha levantado cierta conciencia (pero lejos de ser suficiente) en la comunidad de Java. Sin embargo, ya que la cuestión no era exactamente un error en la librería, nada se podía hacer, salvo advertencia a otros desarrolladores.

70 Bibliotecas Incluir los Comunes Colecciones Apache

La cuestión ahora es aún más grande en su alcance desde 70 otras bibliotecas tienen el mismo problema cuando se trabaja con datos deserializado suministrado por el usuario. Algunas de las bibliotecas más populares incluyen Hadoop, Apache HBase, OpenJPA, JasperReports, Primavera XD, etc.

El problema es que todas estas bibliotecas incluyen los Comunes Colecciones Apache en su código, aplicando así las funciones de manipulación de usuario-proveedor deserializar datos. Es importante señalar que esto no hace que las bibliotecas vulnerables. Cuestiones aparecen cuando dichas solicitudes no desinfectar los datos suministrados por el usuario antes de deserializar con uno de los 70 bibliotecas.

Los investigadores también señalan que la detección de vulnerabilidades deserialización Java es un trabajo complicado. El problema es más de un punto ciego que deja a los investigadores en una mala posición ya que los atacantes están empezando a centrarse en los desarrolladores y el código fuente abierto que les gusta usar.

Aquí está la lista de todas las bibliotecas afectadas:
Haga clic en el acordeón para visualizarla

Bibliotecas
Nombre – Versión
Directorio Apache API Todos – 1.0.0-M31
Directorio Apache API Todos – 1.0.0-M32
Apache Jena – Fuseki servidor independiente Jar – 2.0.0
Apache Jena – Fuseki servidor independiente Jar – 2.3.0
flink-core – 0.9.0-hadoop1
flink-core – 0.9.0
flink sombra-include-hilo – 0.9.0
flink sombra-include-hilo – 0.9.0-hito-1
jcaptcha-all – 1.0-RC6
jcaptcha-all – 1.0-RC5
Mule Core – 2.1.0
Mule Core – 2.1.2
Transporte JMS – 3.0.0-M2-20091124
Transporte JMS – 3.3-M1
Primavera XD SUCIEDAD – 1.0.3.LANZAMIENTO
Primavera XD SUCIEDAD – 1.0.4.LANZAMIENTO
WEBX Todo-en-uno Bundle – 3.2.3
WEBX Todo-en-uno Bundle – 3.0.14
Hadoop MapReduce-cliente-core – 2.6.2
Hadoop MapReduce-cliente-core – 2.6.0
Commons BeanUtils Core – 1.8.3
Commons BeanUtils Core – 1.8.2
Hadoop Común – 2.6.2
Hadoop Común – 2.5.2
Commons Colecciones – 20031027
Commons Colecciones – 3.2.1
OpenJPA Utilidades Biblioteca – 2.3.0
OpenJPA Utilidades Biblioteca – 2.2.2
OpenJPA Kernel – 2.3.0
OpenJPA Kernel – 2.2.2
OpenJPA Persistencia – 1.2.3
JasperReports – 6.2.0
JasperReports – 6.0.2
Isis metamodelo – 1.0.0
Isis metamodelo – 1.1.0
AutoValue – 1
AutoValue – 1.0-RC4
Núcleo – 1.6.2
Núcleo – 1.6.1
velocidad:velocidad-dep – 1.5-beta2
Apache Commons Colecciones – 4
HBase – Común – 0.98.9-hadoop1
HBase – Común – 0.98.7-hadoop1
Apache Directory LDAP compartido – 0.9.11
org.springframework:primavera – 2.5.6.SEC03
org.springframework:primavera – 2.5.6.SEC02
Apache MyFaces JSF Core de 2.2 Impl – 1.2.5
Apache MyFaces JSF Core de 2.2 Impl – 2.2.7
jung-visualización – 2.0.1
jung-visualización – 2
HBase – Servidor 0.98.10.1-hadoop2
HBase – Servidor 0.98.7-hadoop2
cerdo org.apache.pig – 0.15.0
com.google.gwt gwt-dev – 2.7.0
larvalabs Colecciones – 4.01
cuarzo org.opensymphony.quartz – 1.6.1
Apache Commons BeanUtils – 1.9.2
Apache Commons BeanUtils – 1.9.1
Apache Crunch Core – 0.13.0
JasperReports – 3.5.2
JasperReports – 3.5.1
Aplicación ApacheDS MVCC BTree – 1.0.0-M7
ApacheDS Todo – 2.0.0-M18
ApacheDS Todo – 2.0.0-M17
ESAPI – 2.1.0
ESAPI – 2.0.1
OpenJPA Jar Aggregate – 2.3.0
OpenJPA Jar Aggregate – 2.2.2
cuarzo – 1.6.3
cuarzo – 1.6.0

Referencias

SoftPedia

Milena Dimitrova

Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim

Más Mensajes

Sígueme:
Gorjeo

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our política de privacidad.
Estoy de acuerdo