Javaserver este expus riscului de securitate cu elementele Apache Commons Collections
Imperfecțiunea se află în Apache Commons, o bibliotecă care conține un aranjament utilizat în general de părți Java păstrate de Apache Software Foundation. Biblioteca este utilizată, desigur, ca parte a diferitelor servere de aplicații Java și a diferitelor elemente, inclusiv Oracle WebLogic, IBM WebSphere, JBoss, Jenkins și OpenNMS.
Imperfecțiunea este în special în segmentul Colecții din Apache Commons și provine din deserializarea periculoasă a articolelor Java. O bibliotecă Java predominantă are o adevărată neputință, găsită cu mai bine de nouă luni în urmă, care se păstrează pentru a pune un număr mare de aplicații și servere Java în pericol de executare la distanță a codului atacuri.
Poate că, având în vedere faptul că numeroși indivizi au încredere în obligația de a preveni atacurile de deserializare revine inginerilor de aplicații Java, nu inventatorilor bibliotecii. La sfârșitul zilei, datele de încredere nu ar trebui să fie niciodată deserializate fără scop. „Nu cred că biblioteca va fi greșită, cu toate acestea ar putea fi făcute upgrade-uri”, a spus Carsten Eiram, ofițerul șef de explorare la firma de cunoștințe de neputință, bazată pe risc, prin intermediul e-mail.
Inginerii ar trebui să vadă cum funcționează o bibliotecă și să aprobe informațiile care au ajuns la ea, spre deosebire de încrederea sau căutarea bibliotecii în siguranță după ei. ” Lipsa de apărare a primit un alt aflux de prezentare vineri, după ce au sunat oamenii de știință dintr-o organizație FoxGlove Security a descărcat aventurile de confirmare a ideii, luând-o în considerare pentru WebLogic, WebSphere, JBoss, Jenkins și OpenNMS.
În consecință, Oracle a lansat marți o securitate pregătită marți, care conține linii directoare tranzitorii pentru WebLogic Server, în timp ce organizația face o lovitură asupra unui patch neschimbat. Apache Commons Collections conține o clasă Invoker Transformer care efectuează reflecție sau invocare strategie de element și care poate fi încorporată într-un obiect serializat. Inginerii Apache Commons Collections au început, de asemenea, să elimine o soluție, o rețea de inventar de produse organizație de robotizare care oferă proiectanților asistență în urmărirea și gestionarea segmentelor pe care le folosesc în propriile lor aplicații.
Citește și:
„Vă promit că există în prezent un pachet de indivizi care trec prin toate cele mai răspândite piese recunoscute care caută clase serializabile care iau în considerare un fel de executare a comenzii ” Spuse Mayhew. „Aceștia sunt cel mai probabil oameni buni și îngrozitori.” Clasa Transformer Invoker în sine nu este teribilă și nici serializarea nu este, ci mai degrabă este momentul în care sunt consolidate că apare problema securității, a spus Joshua Corman, CTO al Sonatype.