تایید وجود آسیب‌پذیری در هزاران نرم‌افزار جاوا

یکی از محبوب‌ترین کتابخانه‌های جاوا یک آسیب‌پذیری بسیار جدی دارد که بیش از نه ماه پیش کشف شده است و به همین دلیل هزاران نرم‌افزار جاوا و کارگزار را در خطر حمله‌ی اجرای کد از راه دور قرار می‌دهد.
این آسیب‌پذیری در کتابخانه‌ی Apache Commons وجود دارد، این کتابخانه مجموعه‌ای از مولفه‌های متن‌باز جاوا است که توسط بنیاد Apache ایجاد شده است. کتابخانه‌ی Commons به صورت پیش‌فرض در بسیاری از نرم‌افزارهای سمت کارگزار جاوا از جمله Oracle WebLogic و JBoss به‌ کار رفته است.

جزییات آسیب‌پذیری
آسیب‌پذیری به طور خاص در مولفه‌ی Collections از کتابخانه‌ی Apache Commons قرار دارد و مربوط به deserialization کردن ناامن آبجکت‌های جاوا می‌باشد.
در برنامه‌نویسی به فرآیند تبدیل داده‌ها به قالب باینری برای نوشتن در حافظه یا پرونده و یا به طور مثال ارسال آن‌ها از راه شبکه، serialization گفته می‌شود و فرآیند معکوس آن را deserialization می‌نماند.
آسیب‌پذیری این مولفه در ژانویه‌ی سال ۲۰۱۵ در یک کنفرانس امنیتی مطرح شد، اما پژوهش‌گری که این آسیب‌پذیری را کشف کرده بود نتوانست به خوبی میزان خطر آن را تشریح کند و چون اغلب تصور می‌شود که بحث امنیت deserialization مربوط به توسعه‌دهنده است و ویژگیِ تعبیه‌شده در کتابخانه نیست، این آسیب‌‌پذیری نتوانست به اندازه‌ی کافی توجه پژوهش‌گران را جلب نماید.
اما پژوهش‌گران یک شرکت امنیتی به نام FoxGlove با انتشار یک روش سوء‌استفاده از این آسیب‌پذیری در نرم‌افزار WebLogic و بسیار از نرم‌افزارهای دیگر که از کتابخانه‌ی Apache Commons استفاده می‌کنند، موفق شدند توجه پژوهش‌گران را به سمت این آسیب‌پذیری جلب نمایند.
در پاسخ، اوراکل برای Weblogic یک روش موقتی پیشنهاد کرد و در بیانیه‌ای اعلام کرد به دنبال ایجاد وصله‌ی دائمی برای این آسیب‌پذیری است. و بالاخره توسعه‌دهندگان کتابخانه‌ی Apache Commons هم اعلام کردند برای رفع این مشکل کتابخانه اقداماتی را آغاز کرده‌اند.
برخی پژوهش‌گران این مسئله را مطرح کرده‌اند که ممکن است این آسیب‌پذیری در بسیاری دیگر از مولفه‌های جاوا هم وجود داشته باشد و مختصِ این کتابخانه نباشد. سوء‌استفاده از کلاس deserialization می‌تواند به مهاجم امکان اجرای کد از راه دور دهد و امنیت کارگزار را به خطر بیاندازد.
پژوهش‌گران FoxGlove با بررسی پروژه‌های متن‌باز گیت‌هاب، ۱۳۰۰ پروژه را شناسایی کرده‌اند که از کتابخانه‌ی Apache Commons استفاده می‌کند، اما این تعداد فقط پروژه‌های این مخزن بوده است و هزاران نرم‌افزار جاوا از این کتابخانه بهره برده‌اند و به این ترتیب هزاران نرم‌فزار جاوا که اغلب نرم‌افزارهای سمت کارگزار می‌باشند و به صورت متن‌باز در دست‌رس هستند در خطر جدی قرار دارند و ممکن است هر لحظه یک حمله‌ی سایبری با هدف سوء‌استفاده از این آسیب‌پذیری‌ها کارگزار‌های مذکور را با خطر مواجه کند.

منبع: asis

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap