Application obsolète Java maintenant à risque de sécurité

0
12

Javaserver présente un risque de sécurité avec les éléments Apache Commons Collections

L’imperfection est située dans Apache Commons, une bibliothèque qui contient un arrangement généralement utilisé de parties Java conservées par Apache Software Foundation. La bibliothèque est naturellement utilisée dans le cadre de différents serveurs d’applications Java et de différents éléments, notamment Oracle WebLogic, IBM WebSphere, JBoss, Jenkins et OpenNMS.

L’imperfection se situe particulièrement dans le segment Collections d’Apache Commons et provient de la désérialisation dangereuse des éléments Java. Une bibliothèque Java répandue a une véritable impuissance, trouvée il y a plus de neuf mois, qui continue de mettre un grand nombre d’applications et de serveurs Java en danger d’attaques d’exécution de code à distance.

Application obsolète Java maintenant à risque de sécurité

Peut-être à la lumière du fait que de nombreuses personnes croient que l’obligation de prévenir les attaques de désérialisation incombe aux ingénieurs d’application Java, et non aux inventeurs de la bibliothèque. En fin de compte, les données non fiables ne doivent jamais être désérialisées sans but. “Je ne pense pas que la bibliothèque soit à blâmer, mais des mises à niveau pourraient certainement être effectuées”, a déclaré Carsten Eiram, responsable de l’exploration de la société de recherche sur l’impuissance Risk Based Security, par courrier électronique.

Les ingénieurs doivent voir comment fonctionne une bibliothèque et approuver les informations qui lui sont transmises, au lieu de faire confiance ou de rechercher la bibliothèque le fait en toute sécurité après eux. L’absence de défense a fait l’objet d’un nouvel afflux de témoignages vendredi après que des scientifiques d’une organisation appelée FoxGlove Security aient publié la confirmation d’idées pour WebLogic, WebSphere, JBoss, Jenkins et OpenNMS.

En conséquence, Oracle a publié mardi un document de sécurité prêt contenant des directives de secours transitoires pour le serveur WebLogic pendant que l’organisation s’attaque à un correctif immuable. Apache Commons Collections contient une classe Invoker Transformer qui effectue une réflexion, ou une invocation de stratégie d’élément, et qui peut être incorporée dans un objet sérialisé. Les ingénieurs d’Apache Commons Collections ont également commencé à éliminer un correctif, une organisation de robotisation de réseau d’inventaire de produits qui offre aux concepteurs une assistance pour le suivi et la gestion des segments qu’ils utilisent dans leurs applications.

Lire aussi :

  • TalkTalk perd 53 millions de dollars à cause du piratage,

  • Microsoft a livré ses centres de données hébergés en Allemagne,

  • Quatre hommes inculpés pour implication dans le piratage de JPMorgan

“Je vous promets qu’il existe actuellement un groupe de personnes qui passent au crible toutes les pièces les plus reconnues à la recherche de classes sérialisables qui prennent en compte une sorte d’exécution d’ordre”, a déclaré Mayhew. “Ce sont probablement des gens formidables et affreux.” La classe Invoker Transformer elle-même n’est pas terrible, pas plus que la sérialisation, mais c’est plutôt le moment où elles sont consolidées que le problème de sécurité apparaît, a déclaré Joshua Corman, le CTO de Sonatype.

LEAVE A REPLY

Please enter your comment!
Please enter your name here