Stadig ikke rettet: Ni måneder gammel sårbarhed truer tusindvis af Java-applikationer

Tusindvis af meget udbredte Java-applikationer står pivåbne for hackerne, selv om sårbarheden har været kendt i ni måneder.

Artikel top billede

(Foto: Jens Møller Nielsen)

Et meget stort antal udbredte Java-applikationer og-servere kører upåagtet videre, selv om der for ni måneder siden blev opdaget et alvorligt sikkerhedshul i dem.

Sikkerhedshullet findes i Apache Commons-biblioteket, som indeholder en række populære Java-komponenter, som anvendes i Java-baserede applikations-servere og andre produkter.

De tæller blandt andet Oracle WebLogic, IBM WebSphere, Jboss, Jenkins, OpenNMS og andre.

Sårbarheden findes i en komponent, der hedder Collections.

Ifølge Computerworlds amerikanske nyhedsbureau er den opstået som følge af en fejlbehæftet såkaldt deserialization, som er processen, hvor data udpakkes fra binær format, som den typisk lagres i i en fil eller en hukommelse.

Sårbarheden blev i første omgang opdaget allerede i januar af to sikkerhedsfolk, men opdagelsen fik ikke megen opmærksomhed.

Ifølge Computerworlds nyhedsbureau skyldtes det uklarhed om, hvem der egentlig har ansvaret for at forhinde såkaldte deserialization-angreb: Java-udviklerne selv eller Apache Software Foundation, der står udvikling og håndtering af selve biblioteket.

Konkrete udnyttelser af sårbarheden

Sårbarheden har siden levet et stille liv.

Grunden til den ny opmærksom er, at sikkerhedsfirmaet FoxGlove Security nu har præsenteret en række eksempler på konkrete angreb via sårbarheden i WebLogic, WebSphere, Jboss, OpenNMS og Jenkins.

Det kan du læse mere om hos FoxGlove selv.

Det har fået Oracle til at udsende en sikkerheds-advarsel med en midlertidig løsning til problemet i WebLogic Server.

Den kan du finde her.

Apache Commons meddeler samtidig, at udviklerne nu er i gang med at skrive en løsning til problemet.

De to sikkerheds-folk, der i første omgang opdagede sårbarheden, mener imidlertid, at problemet ikke er begrænset til Apache Commons Collection, men at andre Java-komponenter også kan være ramt.

FoxGlove har fundet 1.300 software-projekter på GitHub, der anvender 'commons-collection.

Selskabet mener imidlertid, at der kan være mange tusinder flere Java-applikationer i virksomhederne, der også anvender det fejlramte bibliotek.

Læs også:

Ny undersøgelse udpeger de mest usikre programmer hos danske pc-brugere

10 nemme og effektive måder at øge it-sikkerheden på i din virksomhed

Her er it-udviklernes favorit-teknologier

0-dagssårbarhed rammer Java - Oracle knokler

Læses lige nu

    Navnenyt fra it-Danmark

    Sharp Consumer Electronics har pr. 1. april 2026 ansat Daniel Eriksson som salgsdirektør for de nordiske lande. Han skal især beskæftige sig med at accelerere virksomhedens vækst i Norden. Han kommer fra en stilling som nordisk salgsdirektør hos Hisense. Han har tidligere beskæftiget sig med detailhandel, kommerciel strategi og markedsudvidelser med bemærkelsesværdige resultater til følge. Nyt job

    Daniel Eriksson

    Sharp Consumer Electronics

    Renewtech ApS har pr. 1. april 2026 ansat Boris Sudar som Senior IT Specialist. Han skal især beskæftige sig med at sikre, at Renewtech cloudbaseret infrastruktur fortsætter på sit højeste niveau, mens han også skal drive system udvikling. Han kommer fra en stilling som Senior IT Specialist hos Eurowind Energy. Han har tidligere beskæftiget sig med Microsoft 365, Intune og sikker endepunktsstyring for hybrid og cloudbaseret infrastrukturer. Nyt job

    Boris Sudar

    Renewtech ApS

    Steen Marquard,  Jabra, er pr. 15. juni 2026 udnævnt som Regional President for Norden og UK. Han er uddannet HD(O). Han beskæftiger sig med I sin nye rolle får Steen ansvar for at videreudvikle salget af virksomhedens professionelle lyd- og videoløsninger, samt styrke samarbejdet med channel teams og partnere på tværs af regionen. Udnævnelse