Destaques

Solicite sua guia

Contribuição para Fortalecimento Sindical 2023

Programa Estagiário Legal

Tenha estagiários com segurança jurídica

Cadastre-se no TI Rio Notícias

Receba em seu e-mail pauta das assembleias, notícias do setor de TI, agenda de eventos e muito mais

Mais notícias

Solicite o recolhimento gratuito de lixo eletrônico20/06/2024

Contribuição Assistencial para o Fortalecimento Patronal - Mensagem de nosso Presidente18/06/2024

CAMPANHA LIXO ELETRÔNICO 202405/06/2024

Governo e Congresso chegam a acordo sobre desoneração da folha de 17 setores09/05/2024

Falha em biblioteca Java deixa milhares de aplicações vulneráveis

13/11/2015

Uma biblioteca de componentes de software Java, a Apache Commons, apresenta uma vulnerabilidade grave. Descoberta há mais de nove meses, ela continua a colocar milhares de aplicações Java e servidores em risco a ataques de execução remota de código.

A falha afeta o conjunto amplamente utilizado e mantido pela Apache Software Foundation. A biblioteca é usada de forma padrão em vários servidores de aplicações Java e outros produtos, incluindo o Oracle WebLogic, IBM WebSphere, JBoss, Jenkins e OpenNMS.

O problema está no componente Collections e decorre da “des-serialização” insegura de objetos Java. Na linguagem de programação, a serialização é o processo de conversão de dados para um formato binário, visando armazená-los num ficheiro ou memória, ou o seu envio através de redes.

A vulnerabilidade foi revelada numa conferência de segurança em Janeiro de 2015, pelos pesquisadores Chris Frohoff e Gabriel Lawrence, mas não recebeu muita atenção. Possivelmente porque muitas pessoas acreditam que a responsabilidade pela prevenção de ataques de “des-serialização” é dos programadores de aplicações Java e não dos criadores da biblioteca.

“Não acho que a culpa esteja na biblioteca [ou de quem a mantém], embora pudessem haver melhorias”, disse Carsten Eiram, diretor de investigação da empresa de inteligência sobre vulnerabilidades Risk Based Security. “No fim do dia, a entrada de dados pouco confiáveis nunca deve ser cegamente ‘des-serializada’”.

Os programadores devem entender como uma biblioteca funciona e validar a entrada de informação, em vez de confiar ou esperar que a biblioteca o faça de forma segura.

A vulnerabilidade teve nova onda de exposição na última sexta-feira, após investigadores da FoxGlove Security terem revelado provas de conceito de possibilidades de exploração da falha no WebLogic, WebSphere, JBoss, Jenkins e OpenNMS.

Em resposta, a Oracle divulgou um alerta de segurança, na última terça-feira, contendo instruções temporárias de mitigação para o WebLogic Server. A empresa trabalha numa correção permanente.

Os programadores da Apache Commons Collections também estão corrigindo o problema.

Site: IDG Now!
Data: 12/11/2015
Hora: 15h30
Seção: Internet
Autor: ------
Link: http://idgnow.com.br/internet/2015/11/12/falha-em-biblioteca-java-deixa-milhares-de-aplicacoes-vulneraveis/

Comentários

Faça Login para comentar