|
|
成千上万的Java应用程序容易9个月大的远程代码执行漏洞.灰鸽子下载,远程控制软件
一个缺陷在Apache Commons集合组件将Java应用程序服务器的风险妥协
一个流行的Java库有一个严重的漏洞,发现在九个月前,继续把成千上万的Java应用程序和服务器远程代码执行攻击的风险。
缺陷位于Apache Commons,一套库,包含一个广泛使用的Java组件由Apache软件基金会。
图书馆使用默认情况下在多个Java应用程序服务器和其他产品包括Oracle WebLogic,IBM WebSphere,JBoss,詹金斯和OpenNMS。
集合组件的缺陷是Apache Commons和源于不安全的反序列化的Java对象。
在编程语言中,序列化的过程是将数据转换为二进制格式存储在文件或内存,或通过网络发送。反序列化是相反的过程。
安全会议上首次报道该漏洞研究人员1月克里斯Frohoff和加布里埃尔·劳伦斯,但它没有得到很多的关注。
可能是因为很多人认为防范反序列化的袭击的责任在于Java应用程序开发人员,而不是图书馆的创造者。
“我不觉得图书馆是罪魁祸首,尽管改进当然可以,”Carsten Eiram说,研究主管情报公司基于风险的安全脆弱性,通过电子邮件。“天,年底不可信的输入不应盲目反序列化。开发人员应该了解图书馆工作和验证输入传递给它,而不是信任或希望图书馆是否安全。”
收到的脆弱性暴露后周五新一波的研究人员从一家名为毛地黄安全概念验证利用基于发布服务器,WebSphere,JBoss,詹金斯和OpenNMS。
作为回应,甲骨文星期二发表了一份安全警报包含临时缓解WebLogic服务器的指令而公司正致力于一个永久的补丁。
Apache Commons集合开发人员也开始着手修复。
Apache Commons集合包含一个InvokerTransformer类执行反射,或动态方法调用,可以包含在一个序列化的对象。这可能允许攻击者制定用户提供的对象时,会执行恶意内容的对象是反序列化的Java应用程序使用Apache Commons库。
InvokerTransformer类本身不坏也不是序列化,但是当他们结合,出现安全问题,约书亚科曼说,Sonatype的首席技术官,软件供应链自动化公司,有助于开发人员跟踪和管理他们的应用程序使用的组件。
科曼和布鲁斯·梅休与公司安全研究员,相信这个问题并不局限于Apache Commons集合和其他Java组件可能有相同的问题。
“我向你保证,现在有一堆人梳理所有最常见的组件寻找可序列化的类允许某种命令执行,”梅休说。“这些可能是好的和坏的人。”
即使在Apache Commons集合的上下文中,InvokerTransformer可能不是唯一的脆弱类,根据讨论组件的bug追踪器。有三人被点名为候选人有同样的问题。
毛地黄安全研究人员搜查了公共软件项目在GitHub上使用“commons-collection”,发现1300个结果。
然而,有可能成千上万定制的Java应用程序在企业环境中,使用图书馆 灰鸽子使用教程。
虽然有一个强大的可能性,这个问题超越了这个特殊的组件,在一个补丁发布之前,开发人员应该考虑他们是否能从类路径commons-collections删除或移除InvokerTransformer类常见集合的jar文件。这种变化时要谨慎,因为他们可以把应用程序。 |
|
加载中...
发表于 2015-11-12 13:03:31
发表于 2015-11-12 13:03:34