で明らかになった深刻なJava逆シリアル化の脆弱性 70 ライブラリ
Last Update:
に ミレーナ・ディミトロワ
の初めに 2015, セキュリティ研究者のGabrielLawrenceとChrisFrohoffが、ApacheCommonsCollectionsを介して悪用される可能性のあるリモートコード実行の脆弱性を明らかにしました. 後者は、最もよく知られていて広く使用されているJavaライブラリの1つにすぎません。.
後で 2015, 専門家は、Javaアプリをセキュリティホールに対して脆弱にする問題を報告しました. その理由は、開発者がApacheライブラリを介してユーザー提供の逆シリアル化されたデータを処理する方法でした.
Javaでのシリアル化とは?
シリアル化は、オブジェクトをディスクまたはデータベースに永続化できる一連のバイトに変換するプロセスです。, またはストリームを介して送信できます. バイトのシーケンスからオブジェクトを作成する逆のプロセスは、逆シリアル化と呼ばれます.
仮称 脆弱性 意識を高めました (しかし、十分ではありません) Javaコミュニティで. でも, 問題はライブラリのバグではなかったので, 他の開発者に警告する以外に何もできませんでした.
70 ライブラリにはApacheCommonCollectionsが含まれます
以来、この問題の範囲はさらに大きくなっています 70 他のライブラリでは、ユーザー提供の逆シリアル化されたデータを操作するときに同じ問題が発生します. 最も人気のあるライブラリには、ApacheHadoopが含まれます。, Apache HBase, OpenJPA, JasperReports, 春のXD, 等.
問題は、これらすべてのライブラリのコードにApacheCommonCollectionsが含まれていることです。, したがって、ユーザーサプライヤの逆シリアル化されたデータを処理する関数を適用します. これによってライブラリが脆弱になるわけではないことに注意することが重要です。. このようなアプリケーションが、ユーザーが提供したデータを次のいずれかで逆シリアル化する前にサニタイズしない場合、問題が発生します。 70 ライブラリ.
研究者はまた、Javaの逆シリアル化の脆弱性を検出することは難しい仕事であることに注意します. 問題は、攻撃者が開発者と彼らが使用したいオープンソースコードに焦点を合わせ始めているため、研究者を悪い立場に置く盲点のようなものです。.
影響を受けるすべてのライブラリのリストは次のとおりです:
アコーディオンをクリックして表示します
ライブラリ
名前 – バージョン
ApacheDirectoryAPIすべて – 1.0.0-M31
ApacheDirectoryAPIすべて – 1.0.0-M32
Apache Jena – 布石サーバースタンドアロンJar – 2.0.0
Apache Jena – 布石サーバースタンドアロンJar – 2.3.0
flink-core – 0.9.0-hadoop1
flink-core – 0.9.0
flink-shaded-include-yarn – 0.9.0
flink-shaded-include-yarn – 0.9.0-マイルストーン-1
jcaptcha-すべて – 1.0-RC6
jcaptcha-すべて – 1.0-RC5
ラバコア – 2.1.0
ラバコア – 2.1.2
JMSトランスポート – 3.0.0-M2-20091124
JMSトランスポート – 3.3-M1
春のXDダート – 1.0.3.リリース
春のXDダート – 1.0.4.リリース
Webxオールインワンバンドル – 3.2.3
Webxオールインワンバンドル – 3.0.14
hadoop-mapreduce-client-core – 2.6.2
hadoop-mapreduce-client-core – 2.6.0
Commons BeanUtils Core – 1.8.3
Commons BeanUtils Core – 1.8.2
Apache Hadoop Common – 2.6.2
Apache Hadoop Common – 2.5.2
CommonsCollections – 20031027
CommonsCollections – 3.2.1
OpenJPAユーティリティライブラリ – 2.3.0
OpenJPAユーティリティライブラリ – 2.2.2
OpenJPAカーネル – 2.3.0
OpenJPAカーネル – 2.2.2
OpenJPAの永続性 – 1.2.3
JasperReports – 6.2.0
JasperReports – 6.0.2
Isisメタモデル – 1.0.0
Isisメタモデル – 1.1.0
AutoValue – 1
AutoValue – 1.0-rc4
芯 – 1.6.2
芯 – 1.6.1
速度:速度-dep – 1.5-ベータ2
ApacheCommonsコレクション – 4
HBase – 一般 – 0.98.9-hadoop1
HBase – 一般 – 0.98.7-hadoop1
Apacheディレクトリ共有LDAP – 0.9.11
org.springframework:バネ – 2.5.6.SEC03
org.springframework:バネ – 2.5.6.SEC02
ApacheMyFacesJSF-2.2コア実装 – 1.2.5
ApacheMyFacesJSF-2.2コア実装 – 2.2.7
jung-視覚化 – 2.0.1
jung-視覚化 – 2
HBase – サーバー0.98.10.1-hadoop2
HBase – サーバー0.98.7-hadoop2
org.apache.pig pig – 0.15.0
com.google.gwt gwt-dev – 2.7.0
larvalabsコレクション – 4.01
org.opensymphony.quartzクォーツ – 1.6.1
Apache Commons BeanUtils – 1.9.2
Apache Commons BeanUtils – 1.9.1
Apache Crunch Core – 0.13.0
JasperReports – 3.5.2
JasperReports – 3.5.1
ApacheDSMVCCBTreeの実装 – 1.0.0-M7
ApacheDSすべて – 2.0.0-M18
ApacheDSすべて – 2.0.0-M17
ESAPI – 2.1.0
ESAPI – 2.0.1
OpenJPA Aggregate Jar – 2.3.0
OpenJPA Aggregate Jar – 2.2.2
石英 – 1.6.3
石英 – 1.6.0
参考文献
SoftPedia
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります!
Milena@Milenyimをフォローする
その他の投稿
フォローしてください: