En el principio de 2015, los investigadores de seguridad Gabriel Lawrence y Chris Frohoff revelaron una vulnerabilidad de ejecución remota de código que podría ser explotado a través de los Apache Commons Colecciones. Esta última es sólo una de las bibliotecas de Java más conocidos y ampliamente usados.
Más tarde 2015, expertos reportaron un problema que hace aplicaciones Java vulnerables a los agujeros de seguridad. La razón era la forma en que los desarrolladores manejan datos deserializados suministrados por el usuario a través de la biblioteca Apache.
¿Qué es la serialización en Java?
La serialización es el proceso de convertir un objeto en una secuencia de bytes que se pueden persistió en un disco o base de datos, o puede ser enviado a través de corrientes. El proceso inverso de la creación de un objeto a partir de una secuencia de bytes es apodado deserialización.
El denominado provisionalmente vulnerabilidad ha levantado cierta conciencia (pero lejos de ser suficiente) en la comunidad de Java. Sin embargo, ya que la cuestión no era exactamente un error en la librería, nada se podía hacer, salvo advertencia a otros desarrolladores.
70 Bibliotecas Incluir los Comunes Colecciones Apache
La cuestión ahora es aún más grande en su alcance desde 70 otras bibliotecas tienen el mismo problema cuando se trabaja con datos deserializado suministrado por el usuario. Algunas de las bibliotecas más populares incluyen Hadoop, Apache HBase, OpenJPA, JasperReports, Primavera XD, etc.
El problema es que todas estas bibliotecas incluyen los Comunes Colecciones Apache en su código, aplicando así las funciones de manipulación de usuario-proveedor deserializar datos. Es importante señalar que esto no hace que las bibliotecas vulnerables. Cuestiones aparecen cuando dichas solicitudes no desinfectar los datos suministrados por el usuario antes de deserializar con uno de los 70 bibliotecas.
Los investigadores también señalan que la detección de vulnerabilidades deserialización Java es un trabajo complicado. El problema es más de un punto ciego que deja a los investigadores en una mala posición ya que los atacantes están empezando a centrarse en los desarrolladores y el código fuente abierto que les gusta usar.
Aquí está la lista de todas las bibliotecas afectadas: Haga clic en el acordeón para visualizarla
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos!
Siga Milena @Milenyim