Stadig ikke rettet: Ni måneder gammel sårbarhed truer tusindvis af Java-applikationer

Tusindvis af meget udbredte Java-applikationer står pivåbne for hackerne, selv om sårbarheden har været kendt i ni måneder.

Et meget stort antal udbredte Java-applikationer og-servere kører upåagtet videre, selv om der for ni måneder siden blev opdaget et alvorligt sikkerhedshul i dem.

Sikkerhedshullet findes i Apache Commons-biblioteket, som indeholder en række populære Java-komponenter, som anvendes i Java-baserede applikations-servere og andre produkter.

De tæller blandt andet Oracle WebLogic, IBM WebSphere, Jboss, Jenkins, OpenNMS og andre.

Sårbarheden findes i en komponent, der hedder Collections.

Ifølge Computerworlds amerikanske nyhedsbureau er den opstået som følge af en fejlbehæftet såkaldt deserialization, som er processen, hvor data udpakkes fra binær format, som den typisk lagres i i en fil eller en hukommelse.

Sårbarheden blev i første omgang opdaget allerede i januar af to sikkerhedsfolk, men opdagelsen fik ikke megen opmærksomhed.

Ifølge Computerworlds nyhedsbureau skyldtes det uklarhed om, hvem der egentlig har ansvaret for at forhinde såkaldte deserialization-angreb: Java-udviklerne selv eller Apache Software Foundation, der står udvikling og håndtering af selve biblioteket.

Konkrete udnyttelser af sårbarheden
Sårbarheden har siden levet et stille liv.

Grunden til den ny opmærksom er, at sikkerhedsfirmaet FoxGlove Security nu har præsenteret en række eksempler på konkrete angreb via sårbarheden i WebLogic, WebSphere, Jboss, OpenNMS og Jenkins.

Det kan du læse mere om hos FoxGlove selv.

Det har fået Oracle til at udsende en sikkerheds-advarsel med en midlertidig løsning til problemet i WebLogic Server.

Den kan du finde her.

Apache Commons meddeler samtidig, at udviklerne nu er i gang med at skrive en løsning til problemet.

De to sikkerheds-folk, der i første omgang opdagede sårbarheden, mener imidlertid, at problemet ikke er begrænset til Apache Commons Collection, men at andre Java-komponenter også kan være ramt.

FoxGlove har fundet 1.300 software-projekter på GitHub, der anvender 'commons-collection.

Selskabet mener imidlertid, at der kan være mange tusinder flere Java-applikationer i virksomhederne, der også anvender det fejlramte bibliotek.

Læs også:

Ny undersøgelse udpeger de mest usikre programmer hos danske pc-brugere

10 nemme og effektive måder at øge it-sikkerheden på i din virksomhed

Her er it-udviklernes favorit-teknologier

0-dagssårbarhed rammer Java - Oracle knokler





IT-JOB

Region Hovedstaden - Center for It, Medico og Telefoni

En professionel og innovativ storage-administrator

Udviklings- og Forenklingsstyrelsen

Skarpe DevOps engineers
Se flere it-job hos
Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Edgemo A/S
Salg af hardware, software, konsulentydelser og services inden for virtualiseret infrastruktur, cloud, datacenteret og unified communication.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
It-sikkerhedskontroller og -processer (How to)

Flere organisationer end nogensinde før bliver udsat for cyberangreb af hackere, der hele tiden finder nye veje og metoder, som de kan udnytte til at trænge ind i virksomhedernes systemer. På dette event kigger vi nærmere på, hvordan man opsætter de nødvendige it-sikkerhedskontroller og gør god brug af eksempelvis incident response, log management, penetrationstesting, awareness-træning, sikkerhedsopsætning og meget andet.

03. marts 2021 | Læs mere


Roundtable: Start opgøret med kompleksitet og det manglende overblik: Få styr på mulighederne og planen

Overblik og kompleksitet er derfor i fokus på dette digitale roundtable, hvor vi deler erfaringer fra digitale ledere i danske virksomheder. Her kan du blandt andet kan høre om, hvordan du bedst muligt sikrer dig overblik og reducerer kompleksiteten af dine it-systemer.

09. marts 2021 | Læs mere


Inspiration til dit næste skridt med Microsoft Dynamics 365

Med Microsoft Dynamics 365 har Microsoft forsøgt at samle alle de grundlæggende funktioner, som en virksomhed har brug for, og de arbejder sammen ved hjælp af smarte virksomhedsapps og en fælles datamodel.

16. marts 2021 | Læs mere






Premium
Udrulning af kæmpe kommunalt it-system ramt af stor utilfredshed: 40 procent er utilfredse
Udrulning af det store kommunale ydelsessystem KY har været genstand for stor utilfredshed blandt de kommunale medarbejdere , der har været med i den tidlige implementering, som Kombit og Netcompany er i gang med.
Computerworld
Trump bønfalder Helle Thorning: Giv mig min Facebook-konto tilbage
Facebooks tilsynsråd, der har Helle Thorning-Schmidt i spidsen, har modtaget en erklæring fra Donald Trump, som ønsker at få genoprettet adgangen til sin Facebook og Instagram-konto.
CIO
Har du rost din mellemleder i dag? Snart er de uddøde - og det er et tab
Computerworld mener: Mellemledere lever livet farligt: Topledelsen får konstant ideer med skiftende hold i virkeligheden, og moden går mod flade agile organisationer. Men mellemlederen er en overset hverdagens helt med et kæmpe ansvar. Her er min hyldest til den ofte latterliggjorte mellemleder.
Job & Karriere
IBM Danmark trækker tilbud om frivillige fratrædelser tilbage for stort antal ansatte: "IBM har taget røven på sine ansatte"
Som led i IBM Danmarks store fyringsrunde fik 130 ansatte grønt lys til at forlade selskabet på en frivillig fratrædelsesordning. Men nu har IBM Danmark trukket det oprindelige tilbud tilbage for størstedelen af de ansatte.
White paper
Sådan outsourcer du effektivt – og undgår fælderne
Nogle outsourcer for at minimere omkostningsniveauet, andre for at skaffe ressourcer og spidskompetencer, der er svære at skaffe lokalt – eller af en helt tredje årsag. Der er dog talrige forhold, der er gode at afdække, før man overhovedet begynder at lede en outsourcingudbyder. Man skal klarlægge egne projektbehov samt de spørgsmål og krav, man vil stille samt indsamle viden og erfaringer om, hvordan samarbejdet indledes, drives og styres optimalt. Dertil skal man kende til de hyppigste faldgruber, der kan få et ellers lovende outsourcingsamarbejde til at køre i grøften.