の初めに 2015, セキュリティ研究者のGabrielLawrenceとChrisFrohoffが、ApacheCommonsCollectionsを介して悪用される可能性のあるリモートコード実行の脆弱性を明らかにしました. 後者は、最もよく知られていて広く使用されているJavaライブラリの1つにすぎません。.
後で 2015, 専門家は、Javaアプリをセキュリティホールに対して脆弱にする問題を報告しました. その理由は、開発者がApacheライブラリを介してユーザー提供の逆シリアル化されたデータを処理する方法でした.
Javaでのシリアル化とは?
シリアル化は、オブジェクトをディスクまたはデータベースに永続化できる一連のバイトに変換するプロセスです。, またはストリームを介して送信できます. バイトのシーケンスからオブジェクトを作成する逆のプロセスは、逆シリアル化と呼ばれます.
仮称 脆弱性 意識を高めました (しかし、十分ではありません) Javaコミュニティで. でも, 問題はライブラリのバグではなかったので, 他の開発者に警告する以外に何もできませんでした.
70 ライブラリにはApacheCommonCollectionsが含まれます
以来、この問題の範囲はさらに大きくなっています 70 他のライブラリでは、ユーザー提供の逆シリアル化されたデータを操作するときに同じ問題が発生します. 最も人気のあるライブラリには、ApacheHadoopが含まれます。, Apache HBase, OpenJPA, JasperReports, 春のXD, 等.
問題は、これらすべてのライブラリのコードにApacheCommonCollectionsが含まれていることです。, したがって、ユーザーサプライヤの逆シリアル化されたデータを処理する関数を適用します. これによってライブラリが脆弱になるわけではないことに注意することが重要です。. このようなアプリケーションが、ユーザーが提供したデータを次のいずれかで逆シリアル化する前にサニタイズしない場合、問題が発生します。 70 ライブラリ.
研究者はまた、Javaの逆シリアル化の脆弱性を検出することは難しい仕事であることに注意します. 問題は、攻撃者が開発者と彼らが使用したいオープンソースコードに焦点を合わせ始めているため、研究者を悪い立場に置く盲点のようなものです。.
影響を受けるすべてのライブラリのリストは次のとおりです:
アコーディオンをクリックして表示します
参考文献
SoftPedia