Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 11/11/2015
Udviklerne af Apache Commons har foreslået en rettelse, der kan lukke et alvorligt sikkerhedshul i Commons Collections. Oracle arbejder på en opdatering til WebLogic.Sårbarheden har været kendt siden januar, men først for nylig udsendte sikkerhedsforskere angrebsprogrammer, der udnytter den. De demonstrerede, at sårbarheden kan udnyttes uden autentifikation i programmer som WebLogic, WebSphere, JBoss, Jenkins og OpenNMS.
Udviklerne af Apache Commons er kommet med et bud på en løsning. Den rettede kode fjerner deserialization-funktionen i klassen InvokerTransformer som standard.
Oracle oplyser, at de arbejder på en rettelse til WebLogic. Firmaet har udsendt anbefalinger til, hvordan man kan mindske risikoen for, at angreb udnytter sårbarheden.
Sårbarheden ventes at blive vanskelig at rette, fordi Commons Collections indgår i en lang række Java-applikationer.
Anbefaling
Afvent opdateringer til Commons Collections.