یکی از محبوبترین کتابخانههای جاوا یک آسیبپذیری بسیار جدی دارد که بیش از نه ماه پیش کشف شده است و به همین دلیل هزاران نرمافزار جاوا و کارگزار را در خطر حملهی اجرای کد از راه دور قرار میدهد.
این آسیبپذیری در کتابخانهی Apache Commons وجود دارد، این کتابخانه مجموعهای از مولفههای متنباز جاوا است که توسط بنیاد Apache ایجاد شده است. کتابخانهی Commons به صورت پیشفرض در بسیاری از نرمافزارهای سمت کارگزار جاوا از جمله Oracle WebLogic و JBoss به کار رفته است.
جزییات آسیبپذیری
آسیبپذیری به طور خاص در مولفهی Collections از کتابخانهی Apache Commons قرار دارد و مربوط به deserialization کردن ناامن آبجکتهای جاوا میباشد.
در برنامهنویسی به فرآیند تبدیل دادهها به قالب باینری برای نوشتن در حافظه یا پرونده و یا به طور مثال ارسال آنها از راه شبکه، serialization گفته میشود و فرآیند معکوس آن را deserialization مینماند.
آسیبپذیری این مولفه در ژانویهی سال ۲۰۱۵ در یک کنفرانس امنیتی مطرح شد، اما پژوهشگری که این آسیبپذیری را کشف کرده بود نتوانست به خوبی میزان خطر آن را تشریح کند و چون اغلب تصور میشود که بحث امنیت deserialization مربوط به توسعهدهنده است و ویژگیِ تعبیهشده در کتابخانه نیست، این آسیبپذیری نتوانست به اندازهی کافی توجه پژوهشگران را جلب نماید.
اما پژوهشگران یک شرکت امنیتی به نام FoxGlove با انتشار یک روش سوءاستفاده از این آسیبپذیری در نرمافزار WebLogic و بسیار از نرمافزارهای دیگر که از کتابخانهی Apache Commons استفاده میکنند، موفق شدند توجه پژوهشگران را به سمت این آسیبپذیری جلب نمایند.
در پاسخ، اوراکل برای Weblogic یک روش موقتی پیشنهاد کرد و در بیانیهای اعلام کرد به دنبال ایجاد وصلهی دائمی برای این آسیبپذیری است. و بالاخره توسعهدهندگان کتابخانهی Apache Commons هم اعلام کردند برای رفع این مشکل کتابخانه اقداماتی را آغاز کردهاند.
برخی پژوهشگران این مسئله را مطرح کردهاند که ممکن است این آسیبپذیری در بسیاری دیگر از مولفههای جاوا هم وجود داشته باشد و مختصِ این کتابخانه نباشد. سوءاستفاده از کلاس deserialization میتواند به مهاجم امکان اجرای کد از راه دور دهد و امنیت کارگزار را به خطر بیاندازد.
پژوهشگران FoxGlove با بررسی پروژههای متنباز گیتهاب، ۱۳۰۰ پروژه را شناسایی کردهاند که از کتابخانهی Apache Commons استفاده میکند، اما این تعداد فقط پروژههای این مخزن بوده است و هزاران نرمافزار جاوا از این کتابخانه بهره بردهاند و به این ترتیب هزاران نرمفزار جاوا که اغلب نرمافزارهای سمت کارگزار میباشند و به صورت متنباز در دسترس هستند در خطر جدی قرار دارند و ممکن است هر لحظه یک حملهی سایبری با هدف سوءاستفاده از این آسیبپذیریها کارگزارهای مذکور را با خطر مواجه کند.
منبع : nextkey.ir