Javaserver는 Apache Commons Collections 요소로 인해 보안 위험에 처해 있습니다.
불완전성은 Apache Software Foundation에서 유지 관리하는 일반적으로 사용되는 Java 부품 배열을 포함하는 라이브러리인 Apache Commons에 있습니다. 라이브러리는 물론 Oracle WebLogic, IBM WebSphere, JBoss, Jenkins 및 OpenNMS를 비롯한 다양한 Java 애플리케이션 서버 및 다양한 항목의 일부로 활용됩니다.
불완전성은 특히 Apache Commons의 Collections 세그먼트에 있으며 Java 항목의 위험한 역직렬화에서 비롯됩니다. 널리 퍼진 Java 라이브러리에는 9개월 이상 전에 발견된 진정한 무력감이 있어 수많은 Java 애플리케이션과 서버를 원격 코드 실행 공격의 위험에 계속 노출시키고 있습니다.
보안 위험에 처한 Java 구식 애플리케이션
많은 개인이 역직렬화 공격을 방지하는 것과 관련된 의무를 신뢰한다는 사실에 비추어 볼 때 라이브러리의 발명가가 아니라 Java 애플리케이션 엔지니어에게 있습니다. 결국 신뢰할 수 없는 데이터는 목적 없이 역직렬화되어서는 안 됩니다. 무력 지식 회사인 Risk Based Security의 보스 탐사 책임자인 Carsten Eiram은 이메일을 통해 “라이브러리에 오류가 있다고 생각하지 않지만 업그레이드는 절대적으로 할 수 있습니다.”라고 말했습니다.
엔지니어는 라이브러리가 어떻게 작동하는지 확인하고 정보를 승인하는 것이 라이브러리를 신뢰하거나 찾는 것이 아니라 라이브러리가 안전하게 작동하는지 확인해야 합니다.” FoxGlove Security라는 조직의 과학자들이 WebLogic, WebSphere, JBoss, Jenkins 및 OpenNMS에 대한 아이디어 확인 모험을 발표한 후 무방비 상태에 대한 프레젠테이션이 또 다시 유입되었습니다.
따라서 Oracle은 조직이 변경 없는 패치를 시도하는 동안 WebLogic Server에 대한 일시적인 완화 지침이 포함된 보안 준비 화요일을 발표했습니다. Apache Commons Collections에는 리플렉션 또는 요소 전략 호출을 수행하고 직렬화된 객체에 통합될 수 있는 Invoker Transformer 클래스가 포함되어 있습니다. Apache Commons Collections 엔지니어도 마찬가지로 설계자에게 애플리케이션에서 사용하는 세그먼트를 추적하고 처리하는 데 약간의 지원을 제공하는 제품 인벤토리 네트워크 로봇화 조직인 수정 작업을 시작했습니다.
또한 읽기:
-
TalkTalk 해킹으로 5300만 달러 손실 ,
-
Microsoft는 호스팅된 데이터 센터를 독일에 제공했습니다.
- JP모건 해킹에 가담한 남성 4명 기소
Mayhew는 “현재 어떤 종류의 주문 실행을 고려하는 직렬화 가능한 클래스를 검색하는 가장 널리 알려진 모든 부분을 살펴보고 있는 개인 무리가 있음을 약속합니다.”라고 말했습니다. “이 사람들은 위대하고 무서운 사람들일 가능성이 큽니다.” Sonatype의 CTO인 Joshua Corman은 Invoker Transformer 클래스 자체가 끔찍하지도 않고 직렬화되지도 않지만 보안 문제가 나타나는 것은 통합되는 지점이라고 말했습니다.