Au début de 2015, les chercheurs en sécurité Gabriel Laurent et Chris Frohoff révélé une vulnérabilité d'exécution de code à distance qui pourrait être exploitée via les Apache Commons Collections. Ce dernier est juste un des bibliothèques Java les plus bien connu et largement utilisé.
Plus tard dans 2015, experts ont signalé un problème qui a fait les applications Java vulnérable aux failles de sécurité. La raison en est la manière dont les développeurs traitées les données fournies par l'utilisateur désérialisés via la bibliothèque Apache.
Qu'est-ce que la sérialisation en Java?
La sérialisation est le processus de transformation d'un objet dans une séquence d'octets qui peut être persisté sur un disque ou base de données, ou peut être envoyé par le biais des flux. Le processus inverse de créer un objet à partir d'une séquence d'octets est surnommé désérialisation.
Le provisoirement appelé vulnérabilité a soulevé une certaine conscience (mais loin d'être suffisant) dans la communauté Java. Cependant, puisque la question était pas exactement un bug dans la bibliothèque, rien ne pouvait être fait, sauf avertir les autres développeurs.
70 Inclure les bibliothèques Apache communs Collections
La question est maintenant encore plus grande portée depuis 70 d'autres bibliothèques ont le même problème lorsque l'on travaille avec des données fournies par l'utilisateur déserialisé. Certains des bibliothèques les plus populaires comprennent Hadoop, Hbase, OpenJPA, JasperReports, Printemps XD, etc.
Le problème est que tous ces bibliothèques comprennent les Apache communs Collections dans leur code, appliquant ainsi les fonctions de manutention utilisateurs et fournisseurs de données désérialisée. Il est important de noter que cela ne rend pas les bibliothèques vulnérables. Questions apparaissent lorsque ces applications ne désinfectent les données fournies par l'utilisateur avant la désérialisation avec l'un des 70 bibliothèques.
Les chercheurs notent également que la détection de vulnérabilités Java de désérialisation est un travail délicat. Le problème est plus d'une tache aveugle qui laisse les chercheurs dans une mauvaise position depuis attaquants commencent maintenant à se concentrer sur les développeurs et le code open source, ils aiment à utiliser.
Voici la liste de toutes les bibliothèques touchées: Cliquez sur l'accordéon pour le voir
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles!
Suivre Milena @Milenyim
Ce site Web utilise des cookies pour améliorer l'expérience utilisateur. En utilisant notre site Web, vous consentez à tous les cookies conformément à nos
politique de confidentialité.