Javaserver loopt veiligheidsrisico met Apache Commons Collections-elementen
De imperfectie bevindt zich in Apache Commons, een bibliotheek die een algemeen gebruikte opstelling van Java-onderdelen bevat die door de Apache Software Foundation worden bijgehouden. De bibliotheek wordt als vanzelfsprekend gebruikt als onderdeel van verschillende Java-toepassingsservers en verschillende items, waaronder Oracle WebLogic, IBM WebSphere, JBoss, Jenkins en OpenNMS.
De imperfectie zit met name in het Collections-segment van Apache Commons en komt voort uit gevaarlijke deserialisatie van Java-items. Een wijdverbreide Java-bibliotheek heeft een echte hulpeloosheid, meer dan negen maanden geleden gevonden, die een groot aantal Java-applicaties en -servers voortdurend in gevaar brengt door aanvallen van externe code.
Verouderde Java-applicatie loopt nu veiligheidsrisico
Misschien in het licht van het feit dat veel mensen erop vertrouwen dat de verplichting met betrekking tot het voorkomen van deserialisatie-aanvallen bij Java-toepassingsingenieurs ligt, niet bij de uitvinders van de bibliotheek. Einde van de dag mogen niet-vertrouwde gegevens nooit doelloos worden gedeserialiseerd. “Ik heb niet het gevoel dat de bibliotheek iets te verwijten valt, maar upgrades zouden absoluut kunnen worden doorgevoerd”, zegt Carsten Eiram, de baas van het kennisbedrijf Risk Based Security, via e-mail.
Ingenieurs zouden moeten zien hoe een bibliotheek functioneert en goedkeuren dat de informatie ernaartoe is gegaan, in plaats van te vertrouwen of te zoeken dat de bibliotheek het veilig na hen doet.” De weerloosheid kreeg vrijdag opnieuw een instroom van presentaties nadat wetenschappers van een organisatie genaamd FoxGlove Security bevestiging van ideeën-avonturen hadden uitgebracht, rekening houdend met het voor WebLogic, WebSphere, JBoss, Jenkins en OpenNMS.
Dienovereenkomstig heeft Oracle dinsdag een security-ready uitgegeven met daarin tijdelijke hulprichtlijnen voor de WebLogic Server, terwijl de organisatie een kans waagt op een onveranderlijke patch. Apache Commons Collections bevat een Invoker Transformer-klasse die reflectie of elementstrategie-oproep uitvoert, en die kan worden opgenomen in een geserialiseerd object. De ingenieurs van Apache Commons Collections zijn ook begonnen met het wegwerken van een fix, een organisatie voor productinventarisatienetwerkrobotisering die ontwerpers enige hulp biedt bij het volgen en omgaan met de segmenten die ze in hun toepassingen gebruiken.
Lees ook:
-
TalkTalk-verlies $ 53 miljoen door hacking,
-
Microsoft leverde zijn gehoste datacenters aan Duitsland,
- Vier mannen aangeklaagd wegens betrokkenheid bij JPMorgan-hack
“Ik beloof je dat er momenteel een groep individuen is die alle meest algemeen erkende onderdelen doorzoekt op zoek naar serialiseerbare klassen die rekening houden met een soort van orderuitvoering,” zei Mayhew. “Dit zijn hoogstwaarschijnlijk zowel geweldige als vreselijke mensen.” De Invoker Transformer-klasse zelf is niet verschrikkelijk, en serialisatie ook niet, maar het is het punt waarop ze zijn geconsolideerd dat het beveiligingsprobleem opduikt, zei Joshua Corman, de CTO van Sonatype.