Критическая уязвимость в ряде Java Application Server
Вчера в блоге Apache FSF появилась интересная запись. Уязвимым оказалось практически все ПО, которое использует сериализацию и десереализацию данных совместно с apache commons collections и некоторыми другими библиотеками.
Сама уязвимость была описана 6 ноября, а сегодня Oracle выпустил первые патчи к WebLogic.
Кратко
Тип: Удаленное исполнение кода
Опасность: высокая
Уязвимое ПО: Oracle WebLogic, IBM WebSphere, JBoss, Jenkins, OpenNMS и другое.
Описание: Уязвимость позволяет злоумышленнику создать такой пакет сериализованных данных, который при распаковке заставит уязвимый сервер исполнить произвольный код.
В связи с высокой критичностью, публикую статью так, разбор уязвимости будет в течение часа.
Читать дальше →
Источник: Хабрахабр
Похожие новости
- Обход Cloudflare. Часть I
- DHCP: настройка серверов, Relay и анализ трафика в Wireshark
- Безопасная аутентификация с Indeed AM
- bit kogan: Одна из наиболее обсуждаемых тем сегодня — по какому пути пойдет дальнейшее развитие интернета в России
- Как работает машина Enigma M3 (для флота)
- Из туризма в стеганографию: история создания ChameleonLab и наш новый взгляд на контент
- Невидимые чернила в цифровом мире: технология сокрытия данных в DOCX/XLSX
- Homo CyberSecuritis. Человек эпохи кибербезопасности
- Jailbreak ChatGPT-5, системный промпт, и скрытый контекст
- [Перевод] Prompt injection engineering для атакующих: эксплойт для Copilot от GitHub