Я от Java ушла, от .Net и PHP ушла, теперь вот к тебе, Ruby, стучусь: история одной десериализации

Опубликовано at 14:12
208 0

Вот и до Ruby, наконец, дошла уязвимость, с помощью которой злоумышленники могут заставить приложение запускать вредоносный код. Уязвимость эта хорошо знакома специалистам в лицо, называют ее «ошибкой десериализации». Впервые эта дыра наделала шороху еще в 2015 году, когда ее обнаружили в Java: вызванный во всей экосистеме хаос даже получил название Java Apocalypse. В 2017-м аналогичный процесс повторился в .NET и PHP, ну а теперь, стало быть, очередь дошла и до Ruby.

Австралийские специалисты из компании Elttam сообщают, что Ruby-приложения точно так же уязвимы перед атаками, связанными с сериализацией и десериализацией и подтверждают свои теоретические выкладки соответствующим эксплойтом. Ситуация, правда несколько сложнее, чем в предыдущих случаях, так как, в отличие от Java и .NET, здесь проблема кроется не в сторонних библиотеках, но в самом Ruby. По данным специалистов по безопасности, под угрозой находятся версии от 2.0 до 2.5. К тому же исследователи уверены, что техники атак можно доработать таким образом, чтобы они были эффективны и простив версий 1.8 и 1.9.

В данном случае уязвимость связана с тем, как сам Ruby обрабатывает процессы сериализации и десериализации. Сериализация, напомним, представляет собой процесс преобразования объекта в поток байтов для сохранения или передачи в память, а противоположный процесс называется десериализация.

Ждем реакции от поддержки Ruby, а пока напомним, что давняя проблема десериализации в Java вынудила разработчиков Apache, Oracle, Cisco, Red Hat, Jenkins, VMWare, IBM, Intel, Adobe, HP и SolarWinds выпустить патчи, а инженеры компании Google объединили усилия и в свободное время занялись «починкой» проблемных библиотеки, исправив более 2600 проектов. В итоге, однако, разработчики Oracle, к примеру, признали стратегический провал и сообщили, что вообще планируют отказаться от поддержки сериализации/десериализации в Java.

Подписываемся, следим @CyberAgency

Related Post

«Может ли антивирус сканировать файлы на наличие информации о вашей кредитной карте? Да, он может сканировать всю информацию вашего компьютера», — Евгений Лифшиц, руководитель Агентства Кибербезопасности

Опубликовано - 07.10.2017 0
В сентябре Сенат проголосовал за запрет на использование «Антивируса Касперского» американскими госструктурами из-за подозрений в тесных связях с российскими спецслужбами.…

Добавить комментарий