为何Java序列化漏洞并未被修复?

据我所知,Java序列化漏洞一年多前已被披露,它由一位安全研究人员在PayPal的服务器中发现。那么,这是个什么样的漏洞,为什么它还未被修复?攻击者是如何利用它的?

Nick Lewis:Java序列化漏洞发生在:当输入内容从已经通过互联网提交的格式转换成另一种格式时,随后这种格式会保存在数据库中。当该漏洞存在时,在这个转换过程中处理的数据可被用于在某些易受攻击软件中进行远程代码执行。该漏洞曾被认为只是理论上的,因为其非常难以被利用,但后来FoxGlove
Security在博客文章中发布了针对其可广泛使用的软件漏洞利用代码。通过这个漏洞利用代码,Java序列化漏洞成了企业需要应对的问题。

在安全研究人员Mark
Litchfield发现这个漏洞后,PayPal工程人员检查了这个特定的Java序列化漏洞,并介绍了他们如何在其系统中修复了这个漏洞。安全研究人员Michael
Stepankin也详细探讨了他如何通过这个漏洞在PayPal服务器远程执行代码。

在PayPal工程人员寻找其产品中漏洞代码的过程中我们可了解到,为什么企业(包括PayPal)没有在漏洞利用代码发布前修复这个漏洞:因为如果企业没有中央软件开发资源库,他们非常难以发现这个漏洞代码,他们将需要扫描所有网络应用来寻找易受攻击的系统。

为了抵御这种类型的Java序列化攻击,企业应该将安全整合到其软件开发生命周期中。作为非特权用户运行web服务器而没有在系统执行代码的权限,可减少该漏洞被用于远程代码执行的风险。

作者:Nick Lewis

来源:51CTO

时间: 2024-09-20 16:38:22

为何Java序列化漏洞并未被修复?的相关文章

Netscape 修复JAVA安全漏洞

安全|安全漏洞 涉及程序: Netscape 4.0-4.74 描述: Netscape 修复 JAVA 安全漏洞 详细: Netscape JAVA 安全漏洞补丁 -------------------------------------------------------------------------------- Netscape 4.0 至 4.74 版本, 存在一个安全漏洞,通过利用 JAVA 虚拟机允许攻击者远程访问本地文件.关于这个漏洞的更多信息可以访问Brown Orifi

网络现JAVA高危漏洞 QQ电脑管家可修复

近日,一则披露Oracle公司Java Applet Rhino 脚本引擎存在远程执行代码高危漏洞的消息遭披露,该漏洞的代码细节被完全公开.目前,该漏洞的演示程序已在国内多个安全论坛.主流论坛广泛传播,并有进一步扩大的趋势. 专家指出,黑客利用该漏洞可以轻松制作含有恶意木马病毒的网页.由于JAVA组件被广泛安装在桌面电脑和服务器上,浏览攻击者设计的网页会轻易被木马病毒所感染,可能导致计算机被完全控制,从而遭受虚拟帐号财产被盗.个人信息泄漏等损失.而大多数安全软件的网页防护功能,均无法抵御黑客基于

Netscape 修复 JAVA 安全漏洞 

NetscapeJava安全 涉及程序: Netscape 4.0-4.74 描述: Netscape 修复 JAVA 安全漏洞 详细: Netscape JAVA 安全漏洞补丁-------------------------------------------------------------------------------- Netscape 4.0 至 4.74 版本, 存在一个安全漏洞,通过利用 JAVA 虚拟机允许攻击者远程访问本地文件.关于这个漏洞的更多信息可以访问Brown

Jackson框架出现Java反序列化漏洞 2.7.10 及2.8.9以下版本受影响 绿盟科技发布防护方案

Jackson可以轻松的将Java对象转换成json对象和xml文档,同样也可以将json.xml转换成Java对象,在2017年3月份, fastjson 1.2.24之前版本曾经出现过严重漏洞 .而更早的时候,Java反序列化漏洞问题曾经一度让大家心惊肉跳,这次是Jackson框架 2.7.10 及2.8.9以下版本出现任意代码执行漏洞,攻击者利用该漏洞可以获得网站控制权.考虑到由于漏洞已经被验证可以利用,绿盟科技于昨日发布漏洞预警通告< Jackson框架Java反序列化远程代码执行漏洞预

【分享】Java反序列化漏洞从理解到实践

一.前言 在学习新事物时,我们需要不断提醒自己一点:纸上得来终觉浅,绝知此事要躬行.这也是为什么我们在学到知识后要付诸实践的原因所在.在本文中,我们会深入分析大家非常熟悉的 Java发序列化漏洞 .对我们而言,最好的实践就是真正理解手头掌握的知识,并可以根据实际需要加以改进利用.本文的主要内容包括以下两方面: 1.    利用某个反序列化漏洞. 2.    自己手动创建利用载荷. 更具体一点,首先我们会利用现有工具来实际操作反序列化漏洞,也会解释操作的具体含义,其次我们会深入分析载荷相关内容,比

Java反序列化漏洞从理解到实践

一.前言 在学习新事物时,我们需要不断提醒自己一点:纸上得来终觉浅,绝知此事要躬行.这也是为什么我们在学到知识后要付诸实践的原因所在.在本文中,我们会深入分析大家非常熟悉的Java发序列化漏洞.对我们而言,最好的实践就是真正理解手头掌握的知识,并可以根据实际需要加以改进利用.本文的主要内容包括以下两方面: 1. 利用某个反序列化漏洞. 2. 自己手动创建利用载荷. 更具体一点,首先我们会利用现有工具来实际操作反序列化漏洞,也会解释操作的具体含义,其次我们会深入分析载荷相关内容,比如什么是载荷.如

Java反序列化漏洞利用的学习与实践

本文讲的是Java反序列化漏洞利用的学习与实践, 利用DeserLab 建议你在阅读本文之前,先阅读<攻击Java反序列化过程>,这样你就会对java反序列化有一个比较清晰的认识.除此之外,这篇文章还提到了一个"DeserLab"的演示应用.为了有效利用反序列化漏洞,理解序列化的原理以及反序列化漏洞利用的工作原理(如面向属性的编程原理),研究人员就要找到一个可供模拟的实验环境,而"DeserLab"就是一个这样的环境. 要想利用一个漏洞,通常的方法首先是

借助DNS解析来检测Java反序列化漏洞

本文讲的是借助DNS解析来检测Java反序列化漏洞, 安全问题中最重要的是什么,我们认为重要的就是确保数据来源的安全性和对敏感数据的保护. 域名系统(DNS)是关联网址(如www.makeuseof.com)和IP地址(54.221.192.241)的系统.当你使用浏览器访问一个网站,它会向DNS服务器发送你输入的地址请求,然后DNS服务器会指出其正确的IP地址,这是互联网如何工作的一个关键部分.但是DNS中的信息经常会发生泄漏. Java 对象序列化是 JDK 1.1 中引入的一组开创性特性之

新的Java安全漏洞被发现

Java 开始看起来像是在狭小的码头里的一个胖乎乎的家伙,这个家伙不能坐下如果不打开一个大一些的裂缝(是的,这是我从经验中分析出来的).在甲骨文公司发表了包括42个http://www.aliyun.com/zixun/aggregation/35161.html">漏洞补丁的Java7第21个更新版本之后一周,由经验丰富的Java漏洞猎人亚当戈迪亚克(Adam Gowdiak)报道:在最新推出的Java运行环境(JRE)具有反射机制漏洞的新闻就已经出现. 戈迪亚克是一家波兰的安全和漏洞的