Hlavní navigace

Názor ke zprávičce Bezpečnostní díra v Java knihovně ohrožuje stovky aplikací od Filip Jirsák - U každé aplikace, která posílá přes síť data...

  • 9. 11. 2015 10:32

    Filip Jirsák

    U každé aplikace, která posílá přes síť data serializovaná pomocí standardní Java serializace (třeba RMI), může uživatel přímo měnit serializovaná data. Aby to bylo zneužitelné, musí ještě někdo na těch uživatelem podstrčených datech zavolat nějaký kód, který provede nějakou neplechu.

    Například pokud bych měl třídu, která má field typu Runnable, serializovanou instanci této třídy bych získal od uživatele a měl bych někde v aplikaci implementaci Runnable, která zavolá System.exit() (a měl bych tohle volání povolené v politice), může mi uživatel do serializovaných dat místo mnou očekávána instance Runnable podstrčit tu, která volá System.exit(). Ale pokud něco takového ty exploity dělají, není to nikde v tom doprovodném textu napsáno a není tam ani napsáno, ve které třídě je chyba.