SafeUM
Home Блог Услуги Скачать Помощь О нас Пополнить
EN
RU

Axarhöfði 14, 110 Reykjavik, Iceland

Iceland - 2015
SafeUM
Блог
Услуги
Скачать
Помощь
О нас
Пополнить
Меню
RU
Язык
EN
RU
Архив
TOP Security!
11 Ноя 2015

Приложения на Java подвержены серьезной уязвимости

Исследование компании FoxGlove Security выявило опасный баг в широко распространенной библиотеке, из состава Apache Commons.

Уязвимость может использоваться для удаленного исполнения кода и ставит под угрозу многие продукты, работающие на Java.

Основываясь на исследовании, ранее представленном сотрудниками Qualcomm Габриэлем Лоренсом (Gabriel Lawrence) и Крисом Фрохоффом (Chris Frohoff), специалисты FoxGlove Security продемонстрировали, что хакеры с легкостью могут воспользоваться данной уязвимостью для атак на Java серверы приложений, а также на любые другие продукты, в которых используется коллекция Apache Commons (в том числе Oracle WebLogic, IBM WebSphere, Red Hat’s JBoss, Jenkins и OpenNMS).

Основываясь на том, как Java исполняет user-defined  код во время десериализации объектов, исследователи сумели создать пейлоуды, благодаря которым получили shell-доступ к машинам, на которых работали вышеперечисленные продукты (аналогичный трюк можно проделать с любыми другими машинами, использующими Java Remote Method Invocation).

Специалисты FoxGlove Security предупреждают, что уязвимая библиотека весьма популярна и используется во многих проектах: только GitHub отображает более 1300 результатов поиска. «Каждый сервер приложений поставляется со своим набором библиотек. И даже хуже: каждое приложение, которое вы деплоите на сервер, как правило, тоже имеет собственный набор библиотек, — пишут специалисты FoxGlove Security. — Чтобы полностью все  исправить, вам придется найти и установить апдейты для каждой отдельной библиотеки».

Apache и Jenkins уже работают над исправлением бага. Jenkins опубликовали заплатку, отключающую систему Jenkins CLI, использующуюся в ходе атаки, и доделывают полноценный патч. Apache Commons выпустили патч для ветки 3.2.X, который добавил возможность отключения сериализации для InvokerTransformer по умолчанию.

Джефф Гилбах (Jeff Gehlbach) из OpenNMS вообще осудил действия FoxGlove Security, написав в Twitter о том, что подверженные уязвимостям проекты следует уведомлять о 0day багах, перед публикацией информации о них в открытом доступе, и потребовал извинений. FoxGlove Security, в свою очередь, оправдываются тем, что не сочли данную уязвимость 0day.

Теги:
Java утечка информации
Источник:
Хакер
1446
ДРУГИЕ НОВОСТИ
3 Июль 2020 safeum news imgage Полиция произвела множество арестов, взломав защищённый мессенджер
4 Май 2020 safeum news imgage Европол сообщил об аресте членов польской хак-группы Infinity Black
12 Дек 2019 safeum news imgage Шифрование под угрозой. Как это отразится на нас
4 Ноя 2019 safeum news imgage Должны ли важные решения приниматься на основании лишь фактов, или интуиция имеет право на жизнь?
7 Июнь 2018 safeum news imgage Ворующий данные вирус для роутеров умеет обходить шифрование
4 Июнь 2018 safeum news imgage Мошенники атакуют пользователей сервиса Booking.com
1 Июнь 2018 safeum news imgage Оператор крупнейшей точки обмена трафиком подал в суд на немецкую спецслужбу
30 Май 2018 safeum news imgage ФБР выявило два инструмента северокорейских кибершпионов
29 Май 2018 safeum news imgage Новый закон позволил европейцам требовать миллиарды у Google и Facebook
25 Май 2018 safeum news imgage Предустановленное вредоносное ПО обнаружили на сотнях моделей смартфонов
24 Май 2018 safeum news imgage GPS-трекеры для домашних животных позволяют следить за их хозяевами
23 Май 2018 safeum news imgage К Google подали иск из-за слежки за пользователями iPhone
21 Май 2018 safeum news imgage Данные о местоположении всех смартфонов в США оказались в открытом доступе
18 Май 2018 safeum news imgage Власти США запустили фальшивое ICO
17 Май 2018 safeum news imgage Хакеры похитили сотни миллионов у банков Мексики
Все новости
SafeUM
Конфиденциальность Правила использования Наши технологии О компании
Контакты
Скачать
SafeUM © Безопасный универсальный мессенджер

Axarhöfði 14,
110 Reykjavik, Iceland

Iceland - 2015