commons-collectionsのInvokerTransformer脆弱性について - R42日記
2015-11-12 追記あり。「SpringとGroovyにも直列化オブジェクト脆弱性」も参照してください。 昨日からJava界隈で話題になっているcommons-collectionsの脆弱性について。 元ネタはこちら。 対応するチケットはこちら。 InvokerTransformerなんてクラスは初めて知りましたが、そりゃこういうことになりますよねぇ…というのが感想です。 影響を受けるシステム InvokerTransformerはcommons-collectionsとcommons-collections4の両方に存在しています。 いずれかのライブラリ(commons-collections.jarまたはcommons-collections4.jar)がクラスパスに存在しているとき、 以下のいずれかの条件を満たしていると攻撃が成立する可能性があります。 直列化したオブジェクトを
Javaライブラリに脆弱性、主要ミドルウェア全てに影響
WebLogic、WebSphere、JBoss、Jenkins、OpenNMSのそれぞれについて、いずれも最新版でこの脆弱性を突いてリモートでコードを実行できるコンセプト実証コードも公開された。 WebLogicやWebSphereなどの主要ミドルウェア全てに影響を及ぼすというJavaライブラリの脆弱性情報とコンセプト実証コードが公開された。いずれの製品についても、まだパッチは公開されていないという。 この情報は、情報セキュリティの専門家でつくるFoxGlove Securityが11月6日のブログで紹介した。脆弱性はJavaの「common-collections」ライブラリに存在していて、WebLogicなどのほか、企業のカスタム版のアプリケーションにも影響を及ぼすと指摘している。 コンセプト実証コードは9カ月以上前に公開されていたにもかかわらず、これまであまり注目されることはなく、
来月(2015年4月)でJava SE 7の公式サポートが終了。IPAが注意喚起
独立行政法人情報処理推進機構(IPA)は、2015年4月30日に公式サポートが終了するJava SE 7の利用者に対し、注意喚起を発しました。 プレス発表 公式サポートが終了する Java Platform, Standard Edition 7(Java SE 7)の利用者に向けた注意喚起:IPA 独立行政法人 情報処理推進機構 Java SE 7は公式サポートが終了すると新たな脆弱性が発見されてもアップデートが提供されなくなり、脆弱性を悪用した攻撃によるウイルス感染などの危険性が高くなるため、利用者には速やかなバージョンアップの実施が求められるとしています。 ただし日本オラクルでは公式サポート期間終了後もJava SEのセキュリティアップデートを提供する「Oracle Java SE Advanced」を有償で提供しています。 2014年にもJava SE 7の脆弱性情報の43%が「危
難読化していないAndroidアプリケーションは脆弱性か
このエントリでは、Androidアプリケーションにおいて、難読化が施されていない場合、脆弱性にあたるかについて議論します。 はじめに Androidアプリケーションは主にJava言語で記述され、DEX形式のファイルにコンパイルされたコードを、DalvikというJava互換VM上で実行します。DEXおよびAPKファイルの仕様は公開されており、DEXにはクラスやメソッド等のシンボル名も含まれているため、リバースエンジニアリングが容易であると言われています。このため、Android SDKには標準でProGuardという難読化ツールが添付されています。 それでは、難読化の目的はそもそも何で、難読化でその目的は達成されるのでしょうか。 難読化の目的 Webアプリケーションの場合は、重要なロジックは主にサーバー側に存在するため、ソースコードを外部から取得することはできません。これに対して、スマートフ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
