Accueil > Nouvelles Cyber > Une vulnérabilité sérieuse de désérialisation Java découverte dans 70 Bibliothèques
CYBER NOUVELLES

Sérieux Java Désérialisation Vulnérabilité découverte en 70 Bibliothèques

Au début de 2015, les chercheurs en sécurité Gabriel Laurent et Chris Frohoff révélé une vulnérabilité d'exécution de code à distance qui pourrait être exploitée via les Apache Commons Collections. Ce dernier est juste un des bibliothèques Java les plus bien connu et largement utilisé.

apache-commons-collections-vulnérabilité

Plus tard dans 2015, experts ont signalé un problème qui a fait les applications Java vulnérable aux failles de sécurité. La raison en est la manière dont les développeurs traitées les données fournies par l'utilisateur désérialisés via la bibliothèque Apache.

Qu'est-ce que la sérialisation en Java?

La sérialisation est le processus de transformation d'un objet dans une séquence d'octets qui peut être persisté sur un disque ou base de données, ou peut être envoyé par le biais des flux. Le processus inverse de créer un objet à partir d'une séquence d'octets est surnommé désérialisation.

Le provisoirement appelé vulnérabilité a soulevé une certaine conscience (mais loin d'être suffisant) dans la communauté Java. Cependant, puisque la question était pas exactement un bug dans la bibliothèque, rien ne pouvait être fait, sauf avertir les autres développeurs.

70 Inclure les bibliothèques Apache communs Collections

La question est maintenant encore plus grande portée depuis 70 d'autres bibliothèques ont le même problème lorsque l'on travaille avec des données fournies par l'utilisateur déserialisé. Certains des bibliothèques les plus populaires comprennent Hadoop, Hbase, OpenJPA, JasperReports, Printemps XD, etc.

Le problème est que tous ces bibliothèques comprennent les Apache communs Collections dans leur code, appliquant ainsi les fonctions de manutention utilisateurs et fournisseurs de données désérialisée. Il est important de noter que cela ne rend pas les bibliothèques vulnérables. Questions apparaissent lorsque ces applications ne désinfectent les données fournies par l'utilisateur avant la désérialisation avec l'un des 70 bibliothèques.

Les chercheurs notent également que la détection de vulnérabilités Java de désérialisation est un travail délicat. Le problème est plus d'une tache aveugle qui laisse les chercheurs dans une mauvaise position depuis attaquants commencent maintenant à se concentrer sur les développeurs et le code open source, ils aiment à utiliser.

Voici la liste de toutes les bibliothèques touchées:
Cliquez sur l'accordéon pour le voir

Bibliothèques
Nom – Version
Apache Directory API Tout – 1.0.0-M31
Apache Directory API Tout – 1.0.0-M32
Apache Jena – Fuseki serveur autonome Jar – 2.0.0
Apache Jena – Fuseki serveur autonome Jar – 2.3.0
flink-core – 0.9.0-hadoop1
flink-core – 0.9.0
flink-ombragée-include-fil – 0.9.0
flink-ombragée-include-fil – 0.9.0-étape 1
jcaptcha tout- – 1.0-RC6
jcaptcha tout- – 1.0-RC5
Mule de base – 2.1.0
Mule de base – 2.1.2
Transport JMS – 3.0.0-M2-20091124
Transport JMS – 3.3-M1
Printemps XD DIRT – 1.0.3.LIBÉRATION
Printemps XD DIRT – 1.0.4.LIBÉRATION
Webx Tout-en-un Bundle – 3.2.3
Webx Tout-en-un Bundle – 3.0.14
Hadoop MapReduce-client-core – 2.6.2
Hadoop MapReduce-client-core – 2.6.0
Communes BeanUtils base – 1.8.3
Communes BeanUtils base – 1.8.2
Hadoop commune – 2.6.2
Hadoop commune – 2.5.2
Commons Collections – 20031027
Commons Collections – 3.2.1
OpenJPA Utilities Bibliothèque – 2.3.0
OpenJPA Utilities Bibliothèque – 2.2.2
OpenJPA Kernel – 2.3.0
OpenJPA Kernel – 2.2.2
OpenJPA Persistance – 1.2.3
JasperReports – 6.2.0
JasperReports – 6.0.2
Isis MetaModel – 1.0.0
Isis MetaModel – 1.1.0
AutoValue – 1
AutoValue – 1.0-rc4
Noyau – 1.6.2
Noyau – 1.6.1
vitesse:vitesse-dep – 1.5-beta2
Apache Commons Collections – 4
HBase – Commun – 0.98.9-hadoop1
HBase – Commun – 0.98.7-hadoop1
Apache Directory LDAP partagé – 0.9.11
org.springframework:le printemps – 2.5.6.SEC03
org.springframework:le printemps – 2.5.6.SEC02
Apache MyFaces JSF 2.2 de base-Impl – 1.2.5
Apache MyFaces JSF 2.2 de base-Impl – 2.2.7
jung-visualisation – 2.0.1
jung-visualisation – 2
HBase – Serveur 0.98.10.1-hadoop2
HBase – Serveur 0.98.7-hadoop2
cochon org.apache.pig – 0.15.0
com.google.gwt GWT-dev – 2.7.0
larvalabs Collections – 4.01
quartz org.opensymphony.quartz – 1.6.1
Apache Commons BeanUtils – 1.9.2
Apache Commons BeanUtils – 1.9.1
Apache Crunch de base – 0.13.0
JasperReports – 3.5.2
JasperReports – 3.5.1
La mise en œuvre ApacheDS MVCC BTree – 1.0.0-M7
Tous ApacheDS – 2.0.0-M18
Tous ApacheDS – 2.0.0-M17
ESAPI – 2.1.0
ESAPI – 2.0.1
OpenJPA Jar Aggregate – 2.3.0
OpenJPA Jar Aggregate – 2.2.2
quartz – 1.6.3
quartz – 1.6.0

Les références

SoftPedia

Milena Dimitrova

Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Ce site Web utilise des cookies pour améliorer l'expérience utilisateur. En utilisant notre site Web, vous consentez à tous les cookies conformément à nos politique de confidentialité.
Je suis d'accord