A popular biblioteca Java possui uma vulnerabilidade grave, descoberta há mais de nove meses, mas que continua a colocar milhares de aplicações e servidores Java sob risco de ataques de execução remota.
A falha está localizada no Apache Commons, uma biblioteca que contém conjuntos de componentes Java amplamente usados, que são mantidos pela Apache Software Foundation. A biblioteca é usada por padrão em vários servidores de aplicação Java e outros produtos, incluindo Oracle WebLogic, IBM WebSphere, JBoss, Jenkins e OpenNMS. Mais especificamente, o problema encontra-se no componente Collections e decorre da “des-serialização” insegura de objetos Java. Em linguagens de programação, a serialização é o processo de conversão de dados para um formato binário, visando a armazená-los em um arquivo ou memória, ou enviá-los por meio de redes.
Leia também:
A vulnerabilidade foi revelada pela primeira vez em uma conferência de segurança que aconteceu em janeiro, realizada pelos pesquisadores Chris Frohoff e Gabriel Lawrence, mas ela não recebeu muita atenção, provavelmente porque muitas pessoas acreditam que a responsabilidade de evitar ataques de “des-serialização” é dos programadores de aplicações Java, e não dos criadores da biblioteca.
No entanto, a falha teve uma nova onda de exposição na última sexta-feira, depois que a empresa FoxGlove Security revelou exploits de prova de conceito baseados em WebLogic, WebSphere, JBoss, Jenkins e OpenNMS.
Em resposta, a Oracle emitiu um alerta de segurança na terça-feira, que continha instruções para uma solução temporária no WebLogic Server. A empresa está trabalhando em uma correção permanente, e desenvolvedores da Apache Commons Collections também estão trabalhando para corrigir o problema.
Com informações de PC World