commons-collectionsのInvokerTransformer脆弱性について - R42日記
2015-11-12 追記あり。「SpringとGroovyにも直列化オブジェクト脆弱性」も参照してください。 昨日からJava界隈で話題になっているcommons-collectionsの脆弱性について。 元ネタはこちら。 対応するチケットはこちら。 InvokerTransformerなんてクラスは初めて知りましたが、そりゃこういうことになりますよねぇ…というのが感想です。 影響を受けるシステム InvokerTransformerはcommons-collectionsとcommons-collections4の両方に存在しています。 いずれかのライブラリ(commons-collections.jarまたはcommons-collections4.jar)がクラスパスに存在しているとき、 以下のいずれかの条件を満たしていると攻撃が成立する可能性があります。 直列化したオブジェクトを
セキュリティnews | MBSD
Apache Strutsは、Apache Software Foundationが提供するJavaのウェブアプリケーションを作成するためのソフトウェアフレームワークです。 Apache Strutsのバージョン(2.0.0)から(2.3.16)には、ClassLoaderを操作される脆弱性が存在し、2014年3月に対策されたバージョン(2.3.16.1)が公開されました。 しかし、このバージョン(2.3.16.1)に対して修正が不十分であるため、未だClassLoaderを操作される脆弱性が存在しており、現在も未対応の状態です。 弊社にて調査結果、ウェブアプリケーションの動作権限内で情報の窃取や特定ファイルの操作、およびウェブアプリケーションを一時的に使用不可にできることを確認いたしました。 また、攻撃者が操作したファイルにJavaコードが含まれている場合、任意のコードが実行される可能性
2014年4月 Oracle Java SE のクリティカルパッチアップデートに関する注意喚起
各位 JPCERT-AT-2014-0017 JPCERT/CC 2014-04-16 <<< JPCERT/CC Alert 2014-04-16 >>> 2014年4月 Oracle Java SE のクリティカルパッチアップデートに関する注意喚起 https://www.jpcert.or.jp/at/2014/at140017.html I. 概要 Oracle 社の Java SE JDK および JRE には、複数の脆弱性があります。遠 隔の第三者は、これらの脆弱性を使用することで、Java を不正終了させたり、 任意のコードを実行させたりする可能性があります。脆弱性の詳細については、 Oracle 社の情報を確認してください。 Oracle 社が提供する修正済みソフトウエアへアップデートすることをお勧 めします。 Oracle Critical Patch Update Ad
JRE 1.7に存在するゼロデイ脆弱性を狙った攻撃、バックドア型不正プログラムをもたらす | トレンドマイクロ セキュリティブログ
トレンドラボの解析から、「BKDR_POISON.BLW」は、コンピュータに他の不正プログラムをダウンロードし、実行することが判明しています。つまり、「BKDR_POISON.BLW」に感染したコンピュータは、さらなる感染の被害に遭うこととなります。また、このバックドア型不正プログラムは、感染コンピュータから、スクリーンショットやWebカメラの画像を取得したり、また音声を録音したりする機能も備えています。問題のゼロデイ脆弱性を狙うエクスプロイトは、Mac OS X上でも実行されるという報告もされていることから、Macユーザも今回の攻撃に対して注意を払う必要があります。 問題のゼロデイ脆弱性が、標的型攻撃に利用される可能性を指摘する見方を伝える報告もあるようですが、トレンドラボの解析結果では、この見解の裏付けが確認されていません。この脆弱性を利用するコードが組み込まれているWebサイトは、さ
JCA/JCE - SIC
Extensive Security Provider Built-in ASN.1 library Support for many PKCS standards X.509 certificate and CRL handling for building PKI solutions Ldap Certificate/Crl Search utilities Secure Random number generators Comprehensive API documentation and many demo samples Show all Pricing and Licensing For current prices of IAIK-JCE, please see our price list and license conditions. IAIK-JCE is free f
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Javaの新バージョンはJDK1.9ではない
