Hlavní navigace

Názor ke zprávičce Bezpečnostní díra v Java knihovně ohrožuje stovky aplikací od Filip Jirsák - No, to by mne také zajímalo. Ta chyba...

  • 9. 11. 2015 13:46

    Filip Jirsák

    No, to by mne také zajímalo. Ta chyba teoreticky existovat může. Knihovna Apache Commons Collections by v takovém případě vystupovala spíše jako nástroj útoku než jako zdroj té bezpečnostní chyby. Každopádně ten odkazovaný popis je velmi zmatený a nepopisuje samotný princip chyby, to by se muselo zjistit reverzním inženýrstvím toho exploitu. Existují už nějaké záplaty k té chybě (třeba pro Groovy), takže reálný základ to asi má. Ale nevím, jestli už existuje nějaký seznam tříd, které jsou k téhle chybě zneužitelné.

    Správné řešení tohohle problému spočívá v tom, že nemůžete deserializovat třídu podle názvu, který vám mohl někdo podstrčit, ale vždy musíte při té deserializaci předem vědět, jaký typ objektu (nebo typy) očekáváte a musíte kontrolovat, že někdo nepodstrčil něco jiného.

    Každopádně chyba je zneužitelná jenom tehdy, pokud má útočník možnost podvrhnout serializovaná data, tedy typicky pokud jde o klient-server aplikaci, kde klient předává serveru objekty serializované pomocí Java serializace – tedy ne třeba přes XML nebo JSON (ale pozor na to, že ty serializované objekty klidně mohou být přenášené třeba přes HTTP).