Я от Java ушла, от .Net и PHP ушла, теперь вот к тебе, Ruby, стучусь: история одной десериализации

Опубликовано at 14:12
127 0

Вот и до Ruby, наконец, дошла уязвимость, с помощью которой злоумышленники могут заставить приложение запускать вредоносный код. Уязвимость эта хорошо знакома специалистам в лицо, называют ее «ошибкой десериализации». Впервые эта дыра наделала шороху еще в 2015 году, когда ее обнаружили в Java: вызванный во всей экосистеме хаос даже получил название Java Apocalypse. В 2017-м аналогичный процесс повторился в .NET и PHP, ну а теперь, стало быть, очередь дошла и до Ruby.

Австралийские специалисты из компании Elttam сообщают, что Ruby-приложения точно так же уязвимы перед атаками, связанными с сериализацией и десериализацией и подтверждают свои теоретические выкладки соответствующим эксплойтом. Ситуация, правда несколько сложнее, чем в предыдущих случаях, так как, в отличие от Java и .NET, здесь проблема кроется не в сторонних библиотеках, но в самом Ruby. По данным специалистов по безопасности, под угрозой находятся версии от 2.0 до 2.5. К тому же исследователи уверены, что техники атак можно доработать таким образом, чтобы они были эффективны и простив версий 1.8 и 1.9.

В данном случае уязвимость связана с тем, как сам Ruby обрабатывает процессы сериализации и десериализации. Сериализация, напомним, представляет собой процесс преобразования объекта в поток байтов для сохранения или передачи в память, а противоположный процесс называется десериализация.

Ждем реакции от поддержки Ruby, а пока напомним, что давняя проблема десериализации в Java вынудила разработчиков Apache, Oracle, Cisco, Red Hat, Jenkins, VMWare, IBM, Intel, Adobe, HP и SolarWinds выпустить патчи, а инженеры компании Google объединили усилия и в свободное время занялись «починкой» проблемных библиотеки, исправив более 2600 проектов. В итоге, однако, разработчики Oracle, к примеру, признали стратегический провал и сообщили, что вообще планируют отказаться от поддержки сериализации/десериализации в Java.

Подписываемся, следим @CyberAgency

Related Post

Роскомнадзор заблокировал почти 4 тыс. адресов Amazon AWS за призывы к массовым беспорядкам

Опубликовано - 12.03.2018 0
Блокировка 3926 страниц была осуществлена на основании решения Генпрокуратуры от 4 декабря 2015 года! То есть, решение было принято больше…

Добавить комментарий