Более 40 библиотек подвержены уязвимости десериализации в Java

В середине ноября 2015 года специалисты компании FoxGlove Security выявили опасный баг в широко распространенной библиотеке, из состава Apache Commons. Теперь компания SourceClear сообщает, что данная уязвимость затрагивает не одну библиотеку, а более 40.

По данным исследования компании SourceClear, многие библиотеки, в числе которых Apache Directory API, JMS Transport и некоторые версии Webx All-in-one Bundle, подвержены аналогичной обнаруженной в ноябре проблеме.

Ранее, основываясь на исследовании, представленном сотрудниками компании Qualcomm, специалисты FoxGlove Security продемонстрировали, что хакеры с легкостью могут воспользоваться уязвимостью для атак на Java серверы приложений, а также на любые другие продукты, в которых используется коллекция Apache Commons (в том числе Oracle WebLogic, IBM WebSphere, Red Hat’s JBoss, Jenkins и OpenNMS).

Проблема заключается в том, как Java исполняет user-defined код во время десериализации объектов. Опираясь на это, исследователи FoxGlove Security сумели создать пейлоуды, с помощью которых получили shell-доступ к машинам, на которых работали уязвимые продукты.

«Это очень неприятная уязвимость, потому что это не брешь в самой Java, но баг, которому подвержены широко распространенные библиотеки, — пишет Иоганесс Ульрих (Johannes Ullrich), технический директор SANS Institute Internet Storm Center. — Провести инвентаризацию этих библиотек, которые используются в различных продуктах, крайне трудно».

Специалистам SourceClear удалось выявить баг в нижеперечисленных библиотеках.