В популярной библиотеке Java свыше девяти месяцев назад была обнаружена уязвимость, которая в настоящее время подвергает риску удалённых атак тысячи приложений и серверов. Библиотека Apache Commons содержит набор широко используемых компонентов, поддерживаемых организацией Apache Software Foundation. Эта библиотека используется по умолчанию в многочисленных продуктах, таких как Oracle WebLogic, IBM WebSphere, JBoss, Jenkins OpenNMS.
Уязвимость находится в компоненте Apache Commons под названием Collections и происходит от небезопасной десериализации объектов Java. Сериализацией в языках программирования называется процесс перевода данных в двоичный формат для их хранения в файле, памяти или отправки в сеть. Процесс обратного преобразования данных называется десериализацией.
В январе на конференции по сетевой безопасности об уязвимости рассказали исследователи Крис Фрохофф и Габриель Лоуренс. Должного внимания этой новости уделено не было; возможно, считается, что за предотвращение таких атак отвечают разработчики приложений, а не библиотек. Внимание к уязвимости в очередной раз было привлечено в минувшую пятницу, когда компания FoxGlove Security выпустила эксплоит для приложений WebLogic, WebSphere, JBoss, Jenkins и OpenNMS.
Компания Oracle в ответ на это во вторник выпустила временные инструкции для WebLogic Server, работая над закрывающим уязвимость патчем. Разработчики Apache Commons Collections также готовят своё обновление. Предположительно, проблема может затрагивать и другие компоненты Java. Уязвимость относится к классу InvokerTransformer и ещё три класса находятся сейчас под подозрением.