Huis > Cyber ​​Nieuws > Ernstige kwetsbaarheid voor deserialisatie van Java ontdekt in 70 Bibliotheken
CYBER NEWS

Ernstige Java deserialisatie Kwetsbaarheid ontdekt in 70 Bibliotheken

Begin 2015, de beveiliging onderzoekers Gabriel Lawrence en Chris Frohoff bleek een Remote Code Execution kwetsbaarheid die via de Apache Commons Collecties kunnen worden benut. De laatste is een van de meest bekende en veel gebruikte Java bibliotheken.

apache-commons-collecties-kwetsbaarheid

Later in 2015, experts meldde een probleem dat maakte Java apps kwetsbaar voor gaten in de beveiliging. De reden was de manier waarop ontwikkelaars behandeld door de gebruiker geleverd gedeserialiseerde gegevens via de Apache bibliotheek.

Wat is Serialization in Java?

Serialisatie is het proces van het omzetten van een object in een reeks bytes die kunnen worden bleef een schijf of database, of kunnen door middel van streams worden verzonden. Het omgekeerde proces van het creëren van een object uit een opeenvolging van bytes is genoemd deserialisatie.

De voorlopig genaamd kwetsbaarheid heeft enig besef gerezen (maar verre van genoeg) in de Java-gemeenschap. Echter, aangezien de kwestie was niet echt een bug in de bibliotheek, niets kan worden gedaan, behalve waarschuwen andere ontwikkelaars.

70 Bibliotheken Inclusief de Apache Common Collecties

De kwestie is nu nog groter in omvang sinds 70 andere bibliotheken hebben hetzelfde probleem bij het werken met de gebruiker geleverd gedeserialiseerde gegevens. Enkele van de meest populaire bibliotheken onder Apache Hadoop, Apache HBase, OpenJPA, JasperReports, Spring XD, etc.

Het probleem is dat al deze bibliotheken onder de Apache Common Collecties in hun code, dus het aanbrengen van functies hanteren gebruiksvriendelijke leverancier gedeserialiseerd data. Het is belangrijk op te merken dat dit niet de bibliotheken kwetsbaar. Kwesties verschijnen wanneer dergelijke toepassingen niet door de gebruiker verstrekte gegevens ontsmetten voordat deserialize het met één van de 70 bibliotheken.

De onderzoekers merken ook op dat het opsporen van Java deserialisatie kwetsbaarheden is een lastige baan. Het probleem is meer van een blinde vlek dat onderzoekers laat in een slechte positie, omdat aanvallers nu beginnen te richten op ontwikkelaars en de open source-code die ze willen gebruiken.

Hier is de lijst van alle betrokken bibliotheken:
Klik op de accordeon om het te bekijken

Bibliotheken
Naam – Versie
Apache Directory API Alle – 1.0.0-M31
Apache Directory API Alle – 1.0.0-M32
Apache Jena – Fuseki Server Standalone Jar – 2.0.0
Apache Jena – Fuseki Server Standalone Jar – 2.3.0
flink-core – 0.9.0-hadoop1
flink-core – 0.9.0
Flink-shaded-onder-garen – 0.9.0
Flink-shaded-onder-garen – 0.9.0-mijlpaal-1
jcaptcha-all – 1.0-RC6
jcaptcha-all – 1.0-RC5
Muilezel Core – 2.1.0
Muilezel Core – 2.1.2
JMS Transport – 3.0.0-M2-20091124
JMS Transport – 3.3-M1
Spring XD DIRT – 1.0.3.RELEASE
Spring XD DIRT – 1.0.4.RELEASE
Webx Alles-in-één bundel – 3.2.3
Webx Alles-in-één bundel – 3.0.14
Hadoop-MapReduce-client-core- – 2.6.2
Hadoop-MapReduce-client-core- – 2.6.0
Commons BeanUtils Core – 1.8.3
Commons BeanUtils Core – 1.8.2
Apache Hadoop Common – 2.6.2
Apache Hadoop Common – 2.5.2
Commons Collecties – 20031027
Commons Collecties – 3.2.1
OpenJPA Utilities Bibliotheek – 2.3.0
OpenJPA Utilities Bibliotheek – 2.2.2
OpenJPA Kernel – 2.3.0
OpenJPA Kernel – 2.2.2
OpenJPA Persistence – 1.2.3
JasperReports – 6.2.0
JasperReports – 6.0.2
Isis Metamodel – 1.0.0
Isis Metamodel – 1.1.0
AutoWaarde – 1
AutoWaarde – 1.0-rc4
Kern – 1.6.2
Kern – 1.6.1
snelheid:snelheid-dep – 1.5-beta2
Apache Commons Collecties – 4
HBase – Gemeenschappelijk – 0.98.9-hadoop1
HBase – Gemeenschappelijk – 0.98.7-hadoop1
Apache Directory Shared LDAP – 0.9.11
org.springframework:lente- – 2.5.6.SEC03
org.springframework:lente- – 2.5.6.SEC02
Apache MyFaces JSF Core 2.2-Impl – 1.2.5
Apache MyFaces JSF Core 2.2-Impl – 2.2.7
jung-visualisatie – 2.0.1
jung-visualisatie – 2
HBase – Server 0.98.10.1-hadoop2
HBase – Server 0.98.7-hadoop2
org.apache.pig varken – 0.15.0
com.google.gwt GWT-dev – 2.7.0
larvalabs Collecties – 4.01
org.opensymphony.quartz kwarts – 1.6.1
Apache Commons BeanUtils – 1.9.2
Apache Commons BeanUtils – 1.9.1
Apache Crunch Core – 0.13.0
JasperReports – 3.5.2
JasperReports – 3.5.1
ApacheDS MVCC btree implementatie – 1.0.0-M7
ApacheDS Alle – 2.0.0-M18
ApacheDS Alle – 2.0.0-M17
ESAPI – 2.1.0
ESAPI – 2.0.1
OpenJPA Aggregate Jar – 2.3.0
OpenJPA Aggregate Jar – 2.2.2
kwarts – 1.6.3
kwarts – 1.6.0

Referenties

SoftPedia

Milena Dimitrova

Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim

Meer berichten

Volg mij:
Tjilpen

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Privacybeleid.
Daar ben ik het mee eens