| 0 |
|
На самую, на его взгляд, недооцениваемую среди программных уязвимостей, обнаруженных в 2015 г., обратил внимание в своём блоге Стивен Брин (Stephen Breen) из FoxGlove Security. Этот баг в обычной библиотеке Java предоставляет способ преодоления защиты новейших версий WebLogic, WebSphere, JBoss, Jenkins и OpenMMS.
Уязвимость возникает когда разработчик пытается преобразовать в другой формат статичные двоичные данные, получаемые от пользователя — десериализовать их. В зависимости от языка это ведёт к различным последствиям и наиболее интересное среди них это удалённое выполнение кодов в обход аутентификации.
«Никто не назвал его забавным именем, не посвятил ему пресс-релизов, — пишет Брин. — Более того, несмотря на то, что подтверждающий концепт-код выпущен более девяти месяцев назад, ни один из упомянутых продуктов, наряду с многими другими, так и не был пропатчен».
Фактически, для библиотеки commons-collection, содержащей эту брешь, до сих пор не создано «заплаты». Уязвимыми остаются не только коммерческие продукты, но и многие приложения, разработанные для внутреннего пользования.
В цитируемом блоге автор объясняет, как определить уязвима ли конкретная программа и описывает процедуру исправления бага вручную.
Стратегія охолодження ЦОД для епохи AI
| 0 |
|
