В середине ноября 2015 года специалисты компании FoxGlove Security выявили опасный баг в широко распространенной библиотеке, из состава Apache Commons. Теперь компания SourceClear сообщает, что данная уязвимость затрагивает не одну библиотеку, а более 40.

По данным исследования компании SourceClear, многие библиотеки, в числе которых Apache Directory API, JMS Transport и некоторые версии Webx All-in-one Bundle, подвержены аналогичной обнаруженной в ноябре проблеме.

Ранее, основываясь на исследовании, представленном сотрудниками компании Qualcomm, специалисты FoxGlove Security продемонстрировали, что хакеры с легкостью могут воспользоваться уязвимостью для атак на Java серверы приложений, а также на любые другие продукты, в которых используется коллекция Apache Commons (в том числе Oracle WebLogic, IBM WebSphere, Red Hat’s JBoss, Jenkins и OpenNMS).

Проблема заключается в том, как Java исполняет user-defined  код во время десериализации объектов. Опираясь на это, исследователи FoxGlove Security сумели создать пейлоуды, с помощью которых получили shell-доступ к машинам, на которых работали уязвимые продукты.

«Это очень неприятная уязвимость, потому что это не брешь в самой Java, но баг, которому подвержены широко распространенные библиотеки, — пишет Иоганесс Ульрих (Johannes Ullrich), технический директор SANS Institute Internet Storm Center. — Провести инвентаризацию этих библиотек, которые используются в различных продуктах, крайне трудно».

Специалистам SourceClear удалось выявить баг в нижеперечисленных библиотеках. Компания советует всем разработчикам внимательно проверить свой код и библиотеки на предмет проблемы с десериализацией.

       Имя          Версия
·         Apache Directory API All ·         1.0.0-M31
·         Apache Directory API All ·         1.0.0-M32
·         Apache Jena — Fuseki Server Standalone Jar ·         2.0.0
·         Apache Jena — Fuseki Server Standalone Jar ·         2.3.0
·         flink-core ·         0.9.0-hadoop1
·         flink-core ·         0.9.0
·         flink-shaded-include-yarn ·         0.9.0
·         flink-shaded-include-yarn ·         0.9.0-milestone-1
·         jcaptcha-all ·         1.0-RC6
·         jcaptcha-all ·         1.0-RC5
·         Mule Core ·         2.1.0
·         Mule Core ·         2.1.2
·         JMS Transport ·         3.0.0-M2-20091124
·         JMS Transport ·         3.3-M1
·         Spring XD DIRT ·         1.0.3.RELEASE
·         Spring XD DIRT ·         1.0.4.RELEASE
·         Webx All-in-one Bundle ·         3.2.3
·         Webx All-in-one Bundle ·         3.0.14
·         hadoop-mapreduce-client-core ·         2.6.2
·         hadoop-mapreduce-client-core ·         2.6.0
·         Commons BeanUtils Core ·         1.8.3
·         Commons BeanUtils Core ·         1.8.2
·         Apache Hadoop Common ·         2.6.2
·         Apache Hadoop Common ·         2.5.2
·         Commons Collections ·         20031027
·         Commons Collections ·         3.2.1
·         OpenJPA Utilities Library ·         2.3.0
·         OpenJPA Utilities Library ·         2.2.2
·         OpenJPA Kernel ·         2.3.0
·         OpenJPA Kernel ·         2.2.2
·         OpenJPA Persistence ·         1.2.3
·         JasperReports ·         6.2.0
·         JasperReports ·         6.0.2
·         Isis MetaModel ·         1.0.0
·         Isis MetaModel ·         1.1.0
·         AutoValue ·         1
·         AutoValue ·         1.0-rc4
·         Core ·         1.6.2
·         Core ·         1.6.1
·         velocity:velocity-dep ·         1.5-beta2
·         Apache Commons Collections ·         4
·         HBase — Common ·         0.98.9-hadoop1
·         HBase — Common ·         0.98.7-hadoop1
·         Apache Directory Shared LDAP ·         0.9.11
·         org.springframework:spring ·         2.5.6.SEC03
·         org.springframework:spring ·         2.5.6.SEC02
·         Apache MyFaces JSF-2.2 Core Impl ·         1.2.5
·         Apache MyFaces JSF-2.2 Core Impl ·         2.2.7
·         jung-visualization ·         2.0.1
·         jung-visualization ·         2
·         HBase — Server ·         0.98.10.1-hadoop2
·         HBase — Server ·         0.98.7-hadoop2
·         org.apache.pig pig ·         0.15.0
·         com.google.gwt gwt-dev ·         2.7.0
·         larvalabs collections ·         4.01
·         org.opensymphony.quartz quartz ·         1.6.1
·         Apache Commons BeanUtils ·         1.9.2
·         Apache Commons BeanUtils ·         1.9.1
·         Apache Crunch Core ·         0.13.0
·         JasperReports ·         3.5.2
·         JasperReports ·         3.5.1
·         ApacheDS MVCC BTree implementation ·         1.0.0-M7
·         ApacheDS All ·         2.0.0-M18
·         ApacheDS All ·         2.0.0-M17
·         ESAPI ·         2.1.0
·         ESAPI ·         2.0.1
·         OpenJPA Aggregate Jar ·         2.3.0
·         OpenJPA Aggregate Jar ·         2.2.2
·         quartz ·         1.6.3
·         quartz ·         1.6.0



Оставить мнение