1月に実証コードが公開されたJavaの脆弱性Apacheコモンコレクションズ、Groovy、Springなど多くが影響受けることが判明
Javaライブラリに脆弱性、主要ミドルウェア全てに影響 - ITmedia エンタープライズ
| WebLogicやWebSphereなどの主要ミドルウェア全てに影響を及ぼすというJavaライブラリの脆弱性情報とコンセプト実証コードが公開された。いずれの製品についても、まだパッチは公開されていないという。
この情報は、情報セキュリティの専門家でつくるFoxGlove コンセプト実証コードは9カ月以上前に公開されていたにもかかわらず、これまであまり注目されることはなく、まだパッチも公開されていないという。 |
( ^o^)<流石 Java!とんでもない脆弱性がどんどん出てくるぞ!
( ˘⊖˘) 。o(待てよ、Apache commons とか、Java commons-collections をジェネリクスして作られたもんだったはずだけど、バイナリ互換保証してるんだから、脆弱性も保障されてるんじゃね?)
|海外ニュース| ┗(☋` )┓
三
( ◠‿◠ )☛ Remotely Exploitable Java Zero Day Exploits through Deserialization
| デシリアイズによってリモートから攻撃可能なJavaのゼロディの脆弱性
概念実証コードはApache Commonsのコレクション3.xのに対しては、JBoss, Jenkins, Weblogic や WebSphere が動作していることが条件づけられています。 概念実証コードは、著者によってテストとApache Commonsのコレクション3.2.1に脆弱性が本当であることを確認されています 残念ながら、これらの脆弱性を効果的に簡単な方法で保護することはできません。 同様にJavaアプリケーション(クラスパス、またはSpringの4.xまたはApache Commonsのコレクション3.xまたは4.xの上のGroovyを使用するか、または有している)の多数に適用できるものとして、あることからオブジェクトのシリアル化を防止するための簡単な方法はありませんそれは潜在的に多くのJava操作で使用されるため、JVMで使用されます。 |
▂▅▇█▓▒░('ω')░▒▓█▇▅▂うわああああああ
WebLogicやWebSphere で影響ありって言ってたけどどっちかというと、Javaの「common-collections」からフォークした、 Apache Commons が引きずってるせいで影響受けてるってのが正しいのかな?
Translate
Comments