Vulnerabilidad En La Biblioteca Apache Commons Colecciones De Java

 

US-CERT es consciente de una vulnerabilidad de deserialización en la biblioteca Apache Commons Collections (ACC) de Java. aplicaciones Java que utilizan ya sea directamente ACC, ACC o que contienen en su ruta de clase, pueden ser vulnerables a la ejecución de código arbitrario.

US-CERT recomienda a los usuarios y administradores revisar la nota de vulnerabilidad VU # 576313 para más información y aplicar las medidas de mitigación necesarias.
 

Visión de conjunto


La biblioteca (ACC) Apache Commons Collections es vulnerable a la inseguridad deserialización de los datos, lo que puede provocar la ejecución de código arbitrario. aplicaciones Java que utilizan ya sea directamente ACC, ACC o que contienen en su ruta de clase, pueden ser vulnerables a la ejecución de código arbitrario.

Descripción


CWE-502 : Deserialización de datos no es de confianza
En enero de 2015, al AppSec California 2015, los investigadores Gabriel Lawrence y Chris Frohoff describieron cómo muchas aplicaciones Java y las bibliotecas de Java utilizando serialización de objetos pueden ser vulnerables a la inseguridad deserialización de los datos, lo que puede provocar la ejecución de código arbitrario. 
 
Cualquier biblioteca o aplicación Java que utiliza esta funcionalidad de forma incorrecta pueden verse afectados por esta vulnerabilidad. En noviembre de 2015, Stephen Breen de Dedalera Seguridad identificó los Apache Commons Colecciones biblioteca (ACC) de Java como vulnerables a la inseguridad deserialización de datos; En concreto, el CAC InvokerTransformerclase puede permitir la ejecución de código arbitrario cuando se utiliza para deserializar datos de fuentes no confiables. 
 
De acuerdo con el investigador, este problema afecta a varios proyectos de gran envergadura que utilizan ACC incluyendo WebSphere, JBoss, Jenkins , WebLogic , y OpenNMS. 
 
Unify también informa de que OpenScapesoftware se ve afectada. Además, Cisco ha publicado un aviso para sus productos. Ambas versiones 3.2.1 y 4.0 de la biblioteca Apache Commons colecciones han sido identificadas como vulnerables a este problema deserialización. La Apache Software Foundation ha publicado un comunicado en relación con este tema, que contiene consejos para mitigar el problema, así como otras referencias y enlaces. 
 
Un error de entrada de seguimiento ha sido presentada para seguir el progreso hacia una solución completa. Otras bibliotecas, como Groovy y primavera, en la actualidad están siendo investigados por defectos similares. Presentación de Lawrence y Frohoff describe cómo las aplicaciones y bibliotecas escritas en otros lenguajes, como Python y Ruby, también pueden ser vulnerables al mismo tipo de problema. Es generalmente hasta los diseñadores de software para seguir las mejores prácticas para la seguridad al manejar datos serializados, sin importar el lenguaje de programación o de la biblioteca utilizada...



<a onclick=J.A. M.A. (J.A.M.)" class='avatar avatar-64 photo' height='64' width='64'>
  • Autor:
  • Editor:
      Tutoriales En Linea
  • Fecha:2016-02-16
  • Categorias: Noticias Tutorial java Seguridad



Información
Usuarios que no esten registrados no pueden dejar comentarios, te invitamos a que te registre!