Casa > cibernético Notícias > Vulnerabilidade de desserialização de Java séria descoberta em 70 Bibliotecas
CYBER NEWS

Vulnerabilidade séria de desserialização de Java descoberta em 70 Bibliotecas

por   |  Última atualização:  |  0 Comentários  

No início de 2015, os pesquisadores de segurança Gabriel Lawrence e Chris Frohoff revelaram uma vulnerabilidade de execução remota de código que poderia ser explorada por meio das coleções Apache Commons. Esta última é apenas uma das bibliotecas Java mais conhecidas e amplamente usadas.

apache-commons-collections-vulnerability

Mais tarde, em 2015, especialistas relataram um problema que tornou os aplicativos Java vulneráveis ​​a falhas de segurança. O motivo foi a maneira como os desenvolvedores lidaram com os dados desserializados fornecidos pelo usuário através da biblioteca Apache.

O que é serialização em Java?

Serialização é o processo de transformar um objeto em uma sequência de bytes que pode ser persistida em um disco ou banco de dados, ou pode ser enviado através de fluxos. O processo inverso de criação de um objeto a partir de uma sequência de bytes é chamado desserialização.

O chamado provisoriamente vulnerabilidade levantou alguma consciência (mas longe de ser suficiente) na comunidade Java. Contudo, já que o problema não era exatamente um bug na biblioteca, nada poderia ser feito, exceto avisar outros desenvolvedores.

70 As bibliotecas incluem as coleções comuns do Apache

A questão é agora ainda maior em escopo, pois 70 outras bibliotecas têm o mesmo problema ao trabalhar com dados desserializados fornecidos pelo usuário. Algumas das bibliotecas mais populares incluem o Apache Hadoop, Apache HBase, OpenJPA, JasperReports, Spring XD, etc.

O problema é que todas essas bibliotecas incluem as coleções comuns do Apache em seus códigos, aplicando funções que manipulam dados desserializados de usuário-fornecedor. É importante observar que isso não torna as bibliotecas vulneráveis. Os problemas aparecem quando esses aplicativos não higienizam os dados fornecidos pelo usuário antes de desserializá-los com um dos 70 bibliotecas.

Os pesquisadores também observam que a detecção de vulnerabilidades de desserialização de Java é uma tarefa complicada. O problema é mais um ponto cego que deixa os pesquisadores em uma posição ruim, já que os atacantes estão começando a se concentrar nos desenvolvedores e no código-fonte aberto que eles gostam de usar..

Aqui está a lista de todas as bibliotecas afetadas:
Clique no acordeão para vê-lo

Bibliotecas
Nome – Versão
API Apache Directory All – 1.0.0-M31
API Apache Directory All – 1.0.0-M32
Apache Jena – Jar autônomo do servidor Fuseki – 2.0.0
Apache Jena – Jar autônomo do servidor Fuseki – 2.3.0
flink-core – 0.9.0-hadoop1
flink-core – 0.9.0
fio-sombreado-incluir-fio – 0.9.0
fio-sombreado-incluir-fio – 0.9.0-marco-1
jcaptcha-all – 1.0-RC6
jcaptcha-all – 1.0-RC5
Mule Core – 2.1.0
Mule Core – 2.1.2
Transporte JMS – 3.0.0-M2-20091124
Transporte JMS – 3.3-M1
Spring XD DIRT – 1.0.3.LANÇAMENTO
Spring XD DIRT – 1.0.4.LANÇAMENTO
Pacote tudo-em-um Webx – 3.2.3
Pacote tudo-em-um Webx – 3.0.14
hadoop-mapreduce-client-core – 2.6.2
hadoop-mapreduce-client-core – 2.6.0
Commons BeanUtils Core – 1.8.3
Commons BeanUtils Core – 1.8.2
Apache Hadoop Common – 2.6.2
Apache Hadoop Common – 2.5.2
Colecções Commons – 20031027
Colecções Commons – 3.2.1
Biblioteca de Utilitários OpenJPA – 2.3.0
Biblioteca de Utilitários OpenJPA – 2.2.2
OpenJPA Kernel – 2.3.0
OpenJPA Kernel – 2.2.2
Persistência do OpenJPA – 1.2.3
JasperReports – 6.2.0
JasperReports – 6.0.2
Isis MetaModel – 1.0.0
Isis MetaModel – 1.1.0
Valor Auto – 1
Valor Auto – 1.0-rc4
Testemunho – 1.6.2
Testemunho – 1.6.1
velocidade:velocidade-dep – 1.5-beta2
Colecções Apache Commons – 4
HBase – Comum – 0.98.9-hadoop1
HBase – Comum – 0.98.7-hadoop1
LDAP compartilhado do diretório Apache – 0.9.11
org.springframework:Primavera – 2.5.6.SEC03
org.springframework:Primavera – 2.5.6.SEC02
Apache MyFaces JSF-2.2 Core Impl – 1.2.5
Apache MyFaces JSF-2.2 Core Impl – 2.2.7
visualização do jung – 2.0.1
visualização do jung – 2
HBase – Servidor 0.98.10.1-hadoop2
HBase – Servidor 0.98.7-hadoop2
porco org.apache.pig – 0.15.0
com.google.gwt gwt-dev – 2.7.0
coleções larvalabs – 4.01
org.opensymphony.quartz quartzo – 1.6.1
Apache Commons BeanUtils – 1.9.2
Apache Commons BeanUtils – 1.9.1
Apache Crunch Core – 0.13.0
JasperReports – 3.5.2
JasperReports – 3.5.1
Implementação do ApacheDS MVCC BTree – 1.0.0-M7
ApacheDS All – 2.0.0-M18
ApacheDS All – 2.0.0-M17
ESAPI – 2.1.0
ESAPI – 2.0.1
Jar agregado OpenJPA – 2.3.0
Jar agregado OpenJPA – 2.2.2
quartzo – 1.6.3
quartzo – 1.6.0

Referências

SoftPedia

Milena Dimitrova

Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Postagens relacionadas:
  1. .Vírus arquivos Java (Dharma Ransomware) – Remover e restaurar arquivos Este artigo visa ajudá-lo a remover o recém-descoberto...
  2. Remover Java (variante Dcrtr) ransomware – Restaurar arquivos .java Este artigo ajudará você a remover o Java (variante Dcrtr)...
  3. Java:Malware-gen [Trj] Trojan - Como detectar e remover CrossRAT Este artigo foi criado para explicar o que...
  4. Instale o pop-up do Java Update Virus – Como removê-lo Install Java Update “Virus” Pop-up Java Update deceptive pop-ups present...
  5. Remoção de Java Trojan Mac O que é Java Trojan Java Trojan é uma série de....
  6. Código PoC para CVE-2010-1622 coloca o Spring Core Framework em risco Outro dia, outro dia zero. Desta vez, security researchers discovered a...
  7. CVE-2021-41773: Vulnerabilidade do Apache explorada na natureza O Apache corrigiu duas vulnerabilidades de segurança (CVE-2021-41773 e CVE-2021-33193) dentro...
  8. CVE-2022-25845: Vulnerabilidade Fastjson RCE que afeta aplicativos Java CVE-2022-25845 é uma falha de segurança de alta gravidade (Avaliação 8.1 de...

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

Este site utiliza cookies para melhorar a experiência do usuário. Ao utilizar o nosso site você concorda com todos os cookies de acordo com o nosso Política de Privacidade.
Concordo