Eski Java Uygulaması Artık Güvenlik Riski Altında

0
24

Javaserver, Apache Commons Collections öğeleriyle güvenlik riski altındadır

Kusur, Apache Software Foundation tarafından tutulan Java parçalarının genel olarak kullanılan bir düzenlemesini içeren bir kitaplık olan Apache Commons’da bulunur. Kütüphane doğal olarak farklı Java uygulama sunucularının ve Oracle WebLogic, IBM WebSphere, JBoss, Jenkins ve OpenNMS gibi farklı öğelerin bir parçası olarak kullanılmaktadır.

Kusur özellikle Apache Commons’ın Koleksiyonlar bölümündedir ve Java öğelerinin tehlikeli seri durumdan çıkarılmasından kaynaklanır. Yaygın bir Java kitaplığı, çok sayıda Java uygulamasını ve sunucusunu uzaktan kod yürütme saldırıları tehlikesiyle karşı karşıya bırakmaya devam eden, dokuz aydan daha önce bulunan gerçek bir çaresizliğe sahiptir.

Eski Java Uygulaması Artık Güvenlik Riski Altında

Belki de sayısız kişinin seri durumdan çıkarma saldırılarını önleme yükümlülüğüne güvendiği gerçeği ışığında, kütüphanenin mucitlerine değil, Java uygulama mühendislerine aittir. Günün sonunda, güvenilmeyen veriler asla amaçsızca seri durumdan çıkarılmamalıdır. Güçsüzlük bilgi firması Risk Tabanlı Güvenlik’in patron keşif görevlisi Carsten Eiram, e-posta yoluyla “Kütüphanenin hatalı olduğunu düşünmüyorum, ancak yükseltmeler kesinlikle yapılabilir” dedi.

Mühendisler, bir kütüphanenin nasıl çalıştığını görmeli ve bilgilerin ona nasıl gittiğini onaylamalı, kütüphaneye güvenmek ya da onları aramak yerine, onları güvenli bir şekilde yapmalıdır. ” Savunmasızlık, Cuma günü FoxGlove Security adlı bir kuruluştan bilim adamlarının WebLogic, WebSphere, JBoss, Jenkins ve OpenNMS için fikir doğrulama maceralarını dikkate almalarının ardından başka bir sunum akışı aldı.

Buna göre Oracle, kuruluş değişmez bir yamada çekim yaparken WebLogic Sunucusu için geçici yardım yönergelerini içeren Salı günü hazır bir güvenlik yayınladı. Apache Commons Collections, yansıma veya öğe stratejisi çağrısı gerçekleştiren ve serileştirilmiş bir nesneye dahil edilebilen bir Invoker Transformer sınıfı içerir. Apache Commons Collections mühendisleri de benzer şekilde, tasarımcılara uygulamalarında kullandıkları segmentleri takip etme ve bunlarla ilgilenme konusunda yardım sunan bir ürün envanteri ağı robotlaştırma organizasyonu olan bir düzeltmeyi ortadan kaldırmaya başladılar.

Ayrıca Okuyun:

  • TalkTalk Hackingden 53 Milyon Dolar Kaybediyor,

  • Microsoft Barındırdığı Veri Merkezlerini Almanya’ya Teslim Etti,

  • Dört Adam JPMorgan Hack’e Karışmakla Suçlandı

Mayhew, “Size söz veriyorum, şu anda en yaygın olarak tanınan tüm parçaları gözden geçiren ve bir tür sipariş yürütmeyi dikkate alan serileştirilebilir sınıflar arayan bir grup insan var.” Dedi. “Bunlar büyük olasılıkla hem harika hem de korkunç insanlar.” Sonatype’ın CTO’su Joshua Corman, Invoker Transformer sınıfının kendisinin ne korkunç ne de serileştirme olduğunu, ancak güvenlik sorununun konsolide edildiği noktada ortaya çıktığını söyledi.

LEAVE A REPLY

Please enter your comment!
Please enter your name here