Milhares de aplicações Java vulneráveis

Mais de nove meses depois de ter sido revelada, uma falha no Apache Commons Collections coloca servidores em risco.

codigo_slide_image_061813-win8-6-100495766-orig

Uma biblioteca de componentes de software Java, a Apache Commons, tem uma vulnerabilidade grave, descoberta há mais de nove meses, e continua a colocar milhares de aplicações Java e servidores em risco de ataques de execução remota de código.

A falha afecta o conjunto amplamente utilizado e mantido pela Apache Software Foundation. A biblioteca é usada por norma em vários servidores de aplicações Java e outros produtos, incluindo o Oracle WebLogic, IBM WebSphere, JBoss, Jenkins e OpenNMS.

O problema está no componente Collections e decorre da “des-serialização” insegura de objectos Java. Na programação, a serialização é o processo de conversão de dados para um formato binário, visando armazená-los num ficheiro ou memória, ou o seu envio através de redes.

A vulnerabilidade foi revelada numa conferência de segurança em Janeiro de 2015, pelos investigadores Chris Frohoff e Gabriel Lawrence, mas não recebeu muita atenção. Possivelmente porque muitas pessoas acreditam que a responsabilidade pela prevenção de ataques de “des-serialização” é dos programadores de aplicações Java e não dos criadores da biblioteca.

A Oracle divulgou um alerta de segurança, na última terça-feira, contendo instruções temporárias de mitigação para o WebLogic Server.

“Não acho que a culpa esteja na biblioteca [ou de quem a mantém], embora pudessem haver melhorias”, disse Carsten Eiram, director de investigação da empresa de inteligência sobre vulnerabilidades Risk Based Security. “No fim do dia, a entrada de dados pouco fiáveis nunca deve ser cegamente ‘des-serializada’”.

Os programadores devem entender como uma biblioteca funciona e validar a entrada de informação, em vez de confiar ou esperar que a biblioteca o faça de forma segura.

A vulnerabilidade teve nova onda de exposição na última sexta-feira, após investigadores da FoxGlove Security terem revelado provas de conceito de possibilidades de exploração da falha no WebLogic, WebSphere, JBoss, Jenkins e OpenNMS.

Em resposta, a Oracle divulgou um alerta de segurança, na última terça-feira, contendo instruções temporárias de mitigação para o WebLogic Server. A empresa está a trabalhar numa correcção permanente.

Os programadores da Apache Commons Collections também estão a corrigir o problema.




Deixe um comentário

O seu email não será publicado