Javaのデシリアライズに関する問題への対策
はじめに 第1回の記事ではApache Commons Collectionsライブラリのデシリアライズに関する脆弱性と脆弱性を悪用した攻撃について、第2回の記事ではデシリアライズ時に発生し得る一般的なセキュリティ問題について説明し、外部から受け取ったシリアライズデータを検証なしにデシリアライズすることはリスクを伴うことを解説した。ポイントを整理しておく。 1. 意図しないクラスのオブジェクトが生成される可能性がある クラスパス上に存在する任意のクラスのオブジェクトを、攻撃者が指定するままに生成してしまう可能性がある。クラスパス上には、OSS、サードパーティソフトなどさまざまなライブラリが存在することが多く、それらクラスのデシリアライズ処理を悪用される可能性がある。第1回で解説したApache Commons Collectionsライブラリのクラスの悪用もその一例だ。 2. デシリアライ
Javaのデシリアライズに関する問題
はじめに 前回はApache Commons Collectionsライブラリの脆弱性について、問題の詳細と攻撃の仕組みを解説した。ポイントを整理しておく。 Commons Collectionsライブラリには、Gadget Chainが生成可能でシリアライズ可能なクラスが存在する。攻撃者は前記クラスおよびデシリアライズ時に前記クラスを利用しているクラスを悪用し、細工したオブジェクトをデシリアライズさせることで、任意のコードを実行することができる。同様の問題がすでにSpringやGroovyでも見つかっており、他にも何らかのライブラリなどで上記条件を満たすクラスが存在する場合は、新しい攻撃手法が公開される可能性も考えられる。 本問題は、本質的にはライブラリの利用者側がデシリアライズ処理をセキュアに実装していないことに起因するため、ライブラリの修正プログラムを適用するだけでは、根本的な対処と
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
