All'inizio 2015, i ricercatori di sicurezza Gabriel Lawrence e Chris Frohoff rivelato una vulnerabilità legata all'esecuzione di codice in modalità remota che potrebbe essere sfruttata tramite i Apache Commons Collezioni. Quest'ultimo è solo una delle librerie Java più noti e ampiamente utilizzati.
Più tardi, nel 2015, gli esperti hanno segnalato un problema che rendeva applicazioni Java vulnerabile a falle di sicurezza. Il motivo è stato il modo in cui gli sviluppatori trattati dati deserializzato forniti dall'utente tramite la libreria Apache.
Che cosa è serializzazione in Java?
La serializzazione è il processo di trasformare un oggetto in una sequenza di byte che possono essere persistito su un disco o in un database, oppure può essere inviata attraverso flussi. Il processo inverso di creazione di un oggetto da una sequenza di byte è doppiato deserializzazione.
Il provvisoriamente chiamato vulnerabilità ha sollevato una certa consapevolezza (ma tutt'altro che sufficiente) nella comunità Java. Tuttavia, dal momento che il problema non era esattamente un bug nella libreria, nulla poteva essere fatto salvo avvertimento altri sviluppatori.
70 Biblioteche Includere gli Apache Collezioni comuni
La questione è ora ancora più grande in ambito dal 70 altre librerie hanno lo stesso problema quando si lavora con i dati forniti dall'utente deserializzato. Alcune delle librerie più popolari includono Apache Hadoop, Hbase, OpenJPA, JasperReports, Primavera XD, etc.
Il problema è che tutte queste librerie sono le Apache Collezioni comuni nel loro codice, applicando così le funzioni di gestione user-fornitore deserializzati dati. È importante notare che questo non rende le librerie vulnerabili. Problemi vengono visualizzate quando tali applicazioni non sterilizzare i dati forniti dall'utente prima di deserializzazione con uno dei 70 biblioteche.
I ricercatori osservano inoltre che la rilevazione delle vulnerabilità Java di deserializzazione è un lavoro difficile. Il problema è più di un punto cieco che lascia i ricercatori in una brutta posizione in quanto gli aggressori stanno iniziando a concentrarsi sul sviluppatori e al codice open source che piace usare.
Ecco la lista di tutte le biblioteche interessate: Clicca sulla fisarmonica per vederlo
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli!
Seguire Milena @Milenyim
Questo sito utilizza i cookie per migliorare l'esperienza dell'utente. Utilizzando il nostro sito web acconsenti a tutti i cookie in conformità con la ns
politica sulla riservatezza.