SafeUM
Home Блог Услуги Скачать Помощь О нас Пополнить
EN
RU

Axarhöfði 14, 110 Reykjavik, Iceland

Iceland - 2015
SafeUM
Блог
Услуги
Скачать
Помощь
О нас
Пополнить
Меню
RU
Язык
EN
RU
Архив
TOP Security!
11 Дек 2015

Популярные библиотеки подвержены уязвимости в Java

В середине ноября 2015 года специалисты компании FoxGlove Security выявили опасный баг в широко распространенной библиотеке, из состава Apache Commons.

Теперь компания SourceClear сообщает, что данная уязвимость затрагивает не одну библиотеку, а более 40.

По данным исследования компании SourceClear, многие библиотеки, в числе которых Apache Directory API, JMS Transport и некоторые версии Webx All-in-one Bundle, подвержены аналогичной обнаруженной в ноябре проблеме. Ранее, основываясь на исследовании, представленном сотрудниками компании Qualcomm, специалисты FoxGlove Security продемонстрировали, что хакеры с легкостью могут воспользоваться уязвимостью для атак на Java серверы приложений, а также на любые другие продукты, в которых используется коллекция Apache Commons (в том числе Oracle WebLogic, IBM WebSphere, Red Hat’s JBoss, Jenkins и OpenNMS).

Проблема заключается в том, как Java исполняет user-defined  код во время десериализации объектов. Опираясь на это, исследователи FoxGlove Security сумели создать пейлоуды, с помощью которых получили shell-доступ к машинам, на которых работали уязвимые продукты.

«Это очень неприятная уязвимость, потому что это не брешь в самой Java, но баг, которому подвержены широко распространенные библиотеки, — пишет Иоганесс Ульрих (Johannes Ullrich), технический директор SANS Institute Internet Storm Center. — Провести инвентаризацию этих библиотек, которые используются в различных продуктах, крайне трудно».

Специалистам SourceClear удалось выявить баг в нижеперечисленных библиотеках. Компания советует всем разработчикам внимательно проверить свой код и библиотеки на предмет проблемы с десериализацией.

                        Имя                                                                          Версия
·         Apache Directory API All ·         1.0.0-M31
·         Apache Directory API All ·         1.0.0-M32
·         Apache Jena — Fuseki Server Standalone Jar ·         2.0.0
·         Apache Jena — Fuseki Server Standalone Jar ·         2.3.0
·         flink-core ·         0.9.0-hadoop1
·         flink-core ·         0.9.0
·         flink-shaded-include-yarn ·         0.9.0
·         flink-shaded-include-yarn ·         0.9.0-milestone-1
·         jcaptcha-all ·         1.0-RC6
·         jcaptcha-all ·         1.0-RC5
·         Mule Core ·         2.1.0
·         Mule Core ·         2.1.2
·         JMS Transport ·         3.0.0-M2-20091124
·         JMS Transport ·         3.3-M1
·         Spring XD DIRT ·         1.0.3.RELEASE
·         Spring XD DIRT ·         1.0.4.RELEASE
·         Webx All-in-one Bundle ·         3.2.3
·         Webx All-in-one Bundle ·         3.0.14
·         hadoop-mapreduce-client-core ·         2.6.2
·         hadoop-mapreduce-client-core ·         2.6.0
·         Commons BeanUtils Core ·         1.8.3
·         Commons BeanUtils Core ·         1.8.2
·         Apache Hadoop Common ·         2.6.2
·         Apache Hadoop Common ·         2.5.2
·         Commons Collections ·         20031027
·         Commons Collections ·         3.2.1
·         OpenJPA Utilities Library ·         2.3.0
·         OpenJPA Utilities Library ·         2.2.2
·         OpenJPA Kernel ·         2.3.0
·         OpenJPA Kernel ·         2.2.2
·         OpenJPA Persistence ·         1.2.3
·         JasperReports ·         6.2.0
·         JasperReports ·         6.0.2
·         Isis MetaModel ·         1.0.0
·         Isis MetaModel ·         1.1.0
·         AutoValue ·         1
·         AutoValue ·         1.0-rc4
·         Core ·         1.6.2
·         Core ·         1.6.1
·         velocity:velocity-dep ·         1.5-beta2
·         Apache Commons Collections ·         4
·         HBase — Common ·         0.98.9-hadoop1
·         HBase — Common ·         0.98.7-hadoop1
·         Apache Directory Shared LDAP ·         0.9.11
·         org.springframework:spring ·         2.5.6.SEC03
·         org.springframework:spring ·         2.5.6.SEC02
·         Apache MyFaces JSF-2.2 Core Impl ·         1.2.5
·         Apache MyFaces JSF-2.2 Core Impl ·         2.2.7
·         jung-visualization ·         2.0.1
·         jung-visualization ·         2
·         HBase — Server ·         0.98.10.1-hadoop2
·         HBase — Server ·         0.98.7-hadoop2
·         org.apache.pig pig ·         0.15.0
·         com.google.gwt gwt-dev ·         2.7.0
·         larvalabs collections ·         4.01
·         org.opensymphony.quartz quartz ·         1.6.1
·         Apache Commons BeanUtils ·         1.9.2
·         Apache Commons BeanUtils ·         1.9.1
·         Apache Crunch Core ·         0.13.0
·         JasperReports ·         3.5.2
·         JasperReports ·         3.5.1
·         ApacheDS MVCC BTree implementation ·         1.0.0-M7
·         ApacheDS All ·         2.0.0-M18
·         ApacheDS All ·         2.0.0-M17
·         ESAPI ·         2.1.0
·         ESAPI ·         2.0.1
·         OpenJPA Aggregate Jar ·         2.3.0
·         OpenJPA Aggregate Jar ·         2.2.2
·         quartz ·         1.6.3
·         quartz ·         1.6.0
Теги:
Java утечка информации
Источник:
Хакер
1453
ДРУГИЕ НОВОСТИ
3 Июль 2020 safeum news imgage Полиция произвела множество арестов, взломав защищённый мессенджер
4 Май 2020 safeum news imgage Европол сообщил об аресте членов польской хак-группы Infinity Black
12 Дек 2019 safeum news imgage Шифрование под угрозой. Как это отразится на нас
4 Ноя 2019 safeum news imgage Должны ли важные решения приниматься на основании лишь фактов, или интуиция имеет право на жизнь?
7 Июнь 2018 safeum news imgage Ворующий данные вирус для роутеров умеет обходить шифрование
4 Июнь 2018 safeum news imgage Мошенники атакуют пользователей сервиса Booking.com
1 Июнь 2018 safeum news imgage Оператор крупнейшей точки обмена трафиком подал в суд на немецкую спецслужбу
30 Май 2018 safeum news imgage ФБР выявило два инструмента северокорейских кибершпионов
29 Май 2018 safeum news imgage Новый закон позволил европейцам требовать миллиарды у Google и Facebook
25 Май 2018 safeum news imgage Предустановленное вредоносное ПО обнаружили на сотнях моделей смартфонов
24 Май 2018 safeum news imgage GPS-трекеры для домашних животных позволяют следить за их хозяевами
23 Май 2018 safeum news imgage К Google подали иск из-за слежки за пользователями iPhone
21 Май 2018 safeum news imgage Данные о местоположении всех смартфонов в США оказались в открытом доступе
18 Май 2018 safeum news imgage Власти США запустили фальшивое ICO
17 Май 2018 safeum news imgage Хакеры похитили сотни миллионов у банков Мексики
Все новости
SafeUM
Конфиденциальность Правила использования Наши технологии О компании
Контакты
Скачать
SafeUM © Безопасный универсальный мессенджер

Axarhöfði 14,
110 Reykjavik, Iceland

Iceland - 2015