Falha em Java deixa milhares de apps vulneráveis

javasecUma biblioteca de componentes de software Java, a Apache Commons, apresenta uma vulnerabilidade grave. Descoberta há mais de nove meses, ela continua a colocar milhares de aplicações Java e servidores em risco a ataques de execução remota de código.

A falha afeta o conjunto amplamente utilizado e mantido pela Apache Software Foundation. A biblioteca é usada de forma padrão em vários servidores de aplicações Java e outros produtos, incluindo o Oracle WebLogic, IBM WebSphere, JBoss, Jenkins e OpenNMS.

O problema está no componente Collections e decorre da “des-serialização” insegura de objetos Java. Na linguagem de programação, a serialização é o processo de conversão de dados para um formato binário, visando armazená-los num ficheiro ou memória, ou o seu envio através de redes.

A vulnerabilidade foi revelada numa conferência de segurança em Janeiro de 2015, pelos pesquisadores Chris Frohoff e Gabriel Lawrence, mas não recebeu muita atenção. Possivelmente porque muitas pessoas acreditam que a responsabilidade pela prevenção de ataques de “des-serialização” é dos programadores de aplicações Java e não dos criadores da biblioteca.

“Não acho que a culpa esteja na biblioteca [ou de quem a mantém], embora pudessem haver melhorias”, disse Carsten Eiram, diretor de investigação da empresa de inteligência sobre vulnerabilidades Risk Based Security. “No fim do dia, a entrada de dados pouco confiáveis nunca deve ser cegamente ‘des-serializada’”.

Os programadores devem entender como uma biblioteca funciona e validar a entrada de informação, em vez de confiar ou esperar que a biblioteca o faça de forma segura.

A vulnerabilidade teve nova onda de exposição na última sexta-feira, após investigadores da FoxGlove Security terem revelado provas de conceito de possibilidades de exploração da falha no WebLogic, WebSphere, JBoss, Jenkins e OpenNMS.

Em resposta, a Oracle divulgou um alerta de segurança, na última terça-feira, contendo instruções temporárias de mitigação para o WebLogic Server. A empresa trabalha numa correção permanente.

Os programadores da Apache Commons Collections também estão corrigindo o problema.

Agradecemos ao Davi e ao Paulo Sollo, colaboradores amigos do seu micro seguro, pela referência a essa notícia.

Fonte: IDG Now!

Comentários encerrados.

%d blogueiros gostam disto: