成千上萬的Java應(yīng)用程序容易9個月大的遠(yuǎn)程代碼執(zhí)行漏洞.灰鴿子下載,遠(yuǎn)程控制軟件

admin

成千上萬的Java應(yīng)用程序容易9個月大的遠(yuǎn)程代碼執(zhí)行漏洞.灰鴿子下載,遠(yuǎn)程控制軟件
一個缺陷在Apache Commons集合組件將Java應(yīng)用程序服務(wù)器的風(fēng)險妥協(xié)
一個流行的Java庫有一個嚴(yán)重的漏洞,發(fā)現(xiàn)在九個月前,繼續(xù)把成千上萬的Java應(yīng)用程序和服務(wù)器遠(yuǎn)程代碼執(zhí)行攻擊的風(fēng)險。

缺陷位于Apache Commons,一套庫,包含一個廣泛使用的Java組件由Apache軟件基金會。
圖書館使用默認(rèn)情況下在多個Java應(yīng)用程序服務(wù)器和其他產(chǎn)品包括Oracle WebLogic,IBM WebSphere,JBoss,詹金斯和OpenNMS。
集合組件的缺陷是Apache Commons和源于不安全的反序列化的Java對象。
在編程語言中,序列化的過程是將數(shù)據(jù)轉(zhuǎn)換為二進制格式存儲在文件或內(nèi)存,或通過網(wǎng)絡(luò)發(fā)送。反序列化是相反的過程。
安全會議上首次報道該漏洞研究人員1月克里斯Frohoff和加布里埃爾·勞倫斯,但它沒有得到很多的關(guān)注。
可能是因為很多人認(rèn)為防范反序列化的襲擊的責(zé)任在于Java應(yīng)用程序開發(fā)人員,而不是圖書館的創(chuàng)造者。
“我不覺得圖書館是罪魁禍?zhǔn)?盡管改進當(dāng)然可以,”Carsten Eiram說,研究主管情報公司基于風(fēng)險的安全脆弱性,通過電子郵件�！疤�,年底不可信的輸入不應(yīng)盲目反序列化。開發(fā)人員應(yīng)該了解圖書館工作和驗證輸入傳遞給它,而不是信任或希望圖書館是否安全。”
收到的脆弱性暴露后周五新一波的研究人員從一家名為毛地黃安全概念驗證利用基于發(fā)布服務(wù)器,WebSphere,JBoss,詹金斯和OpenNMS。
作為回應(yīng),甲骨文星期二發(fā)表了一份安全警報包含臨時緩解WebLogic服務(wù)器的指令而公司正致力于一個永久的補丁。
Apache Commons集合開發(fā)人員也開始著手修復(fù)。
Apache Commons集合包含一個InvokerTransformer類執(zhí)行反射,或動態(tài)方法調(diào)用,可以包含在一個序列化的對象。這可能允許攻擊者制定用戶提供的對象時,會執(zhí)行惡意內(nèi)容的對象是反序列化的Java應(yīng)用程序使用Apache Commons庫。
InvokerTransformer類本身不壞也不是序列化,但是當(dāng)他們結(jié)合,出現(xiàn)安全問題,約書亞科曼說,Sonatype的首席技術(shù)官,軟件供應(yīng)鏈自動化公司,有助于開發(fā)人員跟蹤和管理他們的應(yīng)用程序使用的組件。
科曼和布魯斯·梅休與公司安全研究員,相信這個問題并不局限于Apache Commons集合和其他Java組件可能有相同的問題。
“我向你保證,現(xiàn)在有一堆人梳理所有最常見的組件尋找可序列化的類允許某種命令執(zhí)行,”梅休說。“這些可能是好的和壞的人�！�
即使在Apache Commons集合的上下文中,InvokerTransformer可能不是唯一的脆弱類,根據(jù)討論組件的bug追蹤器。有三人被點名為候選人有同樣的問題。
毛地黃安全研究人員搜查了公共軟件項目在GitHub上使用“commons-collection”,發(fā)現(xiàn)1300個結(jié)果。
然而,有可能成千上萬定制的Java應(yīng)用程序在企業(yè)環(huán)境中,使用圖書館 灰鴿子使用教程。
雖然有一個強大的可能性,這個問題超越了這個特殊的組件,在一個補丁發(fā)布之前,開發(fā)人員應(yīng)該考慮他們是否能從類路徑commons-collections刪除或移除InvokerTransformer類常見集合的jar文件。這種變化時要謹(jǐn)慎,因為他們可以把應(yīng)用程序。