澳门新葡亰8455下载app,一月份,安全研究人员Gabriel Lawrence和Chris
Frohoff公布了一个影响范围相当广的Apache
Commons工具集远程代码执行(RCE)漏洞,由于Apache
Commons工具集几乎是JAVA技术平台中应用的最广泛的工具库,因此影响几乎遍及整个JAVA阵营。
但是由于漏洞非常高深且难以理解,尽管研究人
员们尽了最大的努力呼吁人们引起注意,在漏洞公开后近乎一年内该问题仍未得到广泛重视。近日,知名博客Matthias
Kaiser在节目中重谈该问题,并让Foxglove安全公司的Steve
Breen通过快速演示来让了解该RCE漏洞的危害性。

澳门新葡亰8455下载app 1

澳门新葡亰8455下载app 2

代码安全和安全开发是信息安全的源头,也是最重要的环节,但是随着开源组件的流行,开源组件漏洞正在对安全开发构成广泛威胁。

在 演示中,Breen通过Apache
Commons工具集RCE漏洞快速破解了数个应用,包括WebLogic,IBM WebSphere,
JBoss,
Jenkins和OpenNMS在内的应用,这些应用都大量调用了Commons工具集,通过远程代码执行能够对这些应用发起远程攻击。虽然Apache
Commons工具集并不是Java核心之一,但由于JAVA中需要通过调用Apache
Commons工具集等Java库进行“对象的反串行化处理(object deserialization
operations)”,同时能够不被作为第三方工具对待,由于在Java中串行化和反串行化数据是被最普遍使用的实例,Apache
Commons工具集又几乎是JAVA技术平台中应用的最广泛的工具库,因此影响可谓非常广。最新的Apache 
Commons工具集库仍为2013年11月发布的4.0版本,Breen为该漏洞提供了一个较简陋的修复,但是遗憾的是并不能作为完美解决方案。
Breen也承认自己的修复有点简陋,希望该漏洞能够引起更多人的重视。

随着敏捷开发和开源软件的流行,开源组件如今是开发者的宠儿,研究显示如今一个软件中平均75%的软件代码都来自开源组件!但这些开源组件中的漏洞也带来了巨大的安全风险。

转载自:cnbeta.com

Veracode 最新发布的 2017 年软件安全报告显示,88% 的 Java
应用包含至少一个含有漏洞的组件,容易遭受攻击。而且由于组件(包括开源组件)往往被大量应用复用,一个组件的漏洞被挖掘利用,可导致数以千计的使用该组件的应用面临被攻击风险。而只有不到28%的企业会对软件组件安全性进行常规审查。

网站地图xml地图