Популярная Java-библиотека содержит серьезную уязвимость, которая позволяет удаленно выполнить код. Брешь обнаружили ИБ-эксперты Крис Фрохофф (Chris Frohoff) и Габриэль Лоуренс (Gabriel Lawrence) еще девять месяцев назад. В зоне риска безопасности оказались тысячи приложений и серверов Java.
Уязвимость содержится в компоненте Collections в библиотеке Apache Commons, которая включает широко используемые элементы Java, поддерживаемые Apache Software Foundation. Библиотека используется по умолчанию различными серверами приложений Java и другими продуктами, в том числе Oracle WebLogic, IBM WebSphere, JBoss, Jenkins и OpenNMS. Злоумышленник может проэксплуатировать брешь для осуществления атаки десериализации.
Впервые информация об уязвимости была обнародована еще в январе текущего года. Однако брешь не привлекла особого внимания, так как многие считают, что ответственность за предотвращение атак десериализация лежит на разработчиках Java-приложений, а не самих создателях библиотеки.
ИБ-специалисты считают, что уязвимостям может быть подвержен не только компонент Apache Commons Collections. Компания Oracle уже выпустила временные патчи для WebLogic Server. Разработчики Apache Commons Collections уже работают над обновлениями безопасности.
