Nessun risultato. Prova con un altro termine.
Guide
Notizie
Software
Tutorial

Java: patch di sicurezza per la deserializzazione

Java. Oracle rilascia decine di patch di sicurezza tra cui una che risolve una vulnerabilità conosciuta da ormai 3 anni.
Java. Oracle rilascia decine di patch di sicurezza tra cui una che risolve una vulnerabilità conosciuta da ormai 3 anni.
Link copiato negli appunti

Oracle ha rilasciato un nuovo Critical Patch Update per Java e non solo, si tratta di un'insieme di fix di sicurezza che risolve quasi 300 vulnerabilità presenti nel parco software dell'azienda.

53 di queste patch hanno risolto criticità con uno score CVSS (Common Vulnerabilities Scoring System) di 9.0 o superiore, si trattava dunque di vulnerabilità abbastanza serie. Alcune delle falle risolte erano poi delle "vecchie conoscenze", come per esempio un bug, presente all'interno una libreria Java, segnalato per la prima volta ben 3 anni fa.

Si tratta nello specifico di una Java deserialization vulnerability, etichettata come CVE-2016-1000031, rilevata all'interno dell'Apache Commons FileUpload library usata in moltissimi applicativi Oracle.

Tale vulnerabilità poteva essere sfruttata dagli attaccanti per manipolare il componente DiskFileItem, anche da remoto, in modo tale da riuscire a creare o a copiare file presenti sul disco in una qualsiasi directory. Tramite un exploit ben congegnato un utente malintenzionato avrebbe potuto impossessarsi completamente del controllo di un sistema.

Il team di Oracle ha impiegato cosi tanto tempo per risolvere questa problematica perché una vulnerabilità simile richiede l'introduzione di meccanismo di sicurezza low-level. Nei casi peggiori è necessaria inoltre una parziale riscrittura della libreria o dell'applicazione stessa.

Le Java deserialization vulnerability sono un problema già noto da anni ad Oracle. Applicare delle modifiche simili al meccanismo per la serializzazione può portare a molteplici errori inaspettati, con un conseguente difetto delle funzionalità degli applicativi coinvolti. Dunque ecco spiegate le tempistiche particolarmente lunghe per la distribuzione della patch.

Tutte le aziende che basano i propri servizi sugli applicativi sviluppati da Oracle dovrebbero quindi provvedere ad installare prima possibile il nuovo Critical Patch Update.

Via Oracle

Ti consigliamo anche