Die Schwierigkeit beim Patchen von Deserialisierungsschwachstellen
Letzte Woche wurde berichtet, dass eine mögliche Ursache für die Equifax-Datenschutzverletzung eine Sicherheitslücke im Apache Struts REST-Plugin war. Die ältere Version des Plugins ist anfällig für Remote Code Execution-Angriffe, wenn sie zusammen mit dem XStream-Handler zur Verarbeitung von XML-Payloads verwendet wird. Die Ursache ist Deserialisierung nicht vertrauenswürdiger Daten, was ein bekannter Schwachstellentyp ist. Die Sicherheitslücke, offiziell anerkannt als CVE-2017-9805, wurde am 5. September von Apache in der Struts-Version 2.5.13 gepatcht. Damals war es angekündigt und klar dokumentiert in der Apache Struts-Dokumentation.
Ein einfaches Upgrade auf die neueste Struts-Version kann die Anwendung vor diesem Angriff schützen. Warum aktualisieren Unternehmen also nicht sofort? Das Problem mit Deserialisierungsschwachstellen besteht darin, dass die Routinen, die ausgenutzt werden, häufig diejenigen sind, auf denen der Anwendungscode basiert. In diesem Fall kann die Anwendung des neuen Struts-Patches einige Nebenwirkungen haben, da Dokumentation Zu der Sicherheitsanfälligkeit wird Folgendes erwähnt: „Es ist möglich, dass einige REST-Aktionen nicht mehr funktionieren, weil Standardbeschränkungen für verfügbare Klassen angewendet wurden.“ Es ist sehr wahrscheinlich, dass es einige Zeit dauert, sicherzustellen, dass die Anwendung auch auf neueren Versionen von Struts funktioniert.
Hacker benötigen jedoch nicht so viel Zeit, um veröffentlichte Sicherheitslücken auszunutzen, und wir können bereits einige Exploits beobachten veröffentlicht. Ein Metasploit Modul wurde am 8. September hinzugefügt, also drei Tage, nachdem Apache die Sicherheitslücke gepatcht hat. Es ist eindeutig keine gute Idee, Ihren Patch zu verschieben!
Die Lösung besteht darin, eine von Apache vorgeschlagene Problemumgehung zu implementieren, die in einem kürzeren Zeitrahmen durchgeführt werden könnte. Ein Sicherheitstool mit konfigurierbaren Codierungsrichtlinien, um diese Problemumgehung durchzusetzen oder sie sogar automatisch anzuwenden, würde diesen Prozess erheblich beschleunigen.
Möchten Sie mehr darüber erfahren, wie Sie Code identifizieren und sichern können, der die Deserialisierung nicht vertrauenswürdiger Daten enthält? Besuchen Sie das Secure Code Warrior-Portal für einen klaren Überblick Erklärung und eine Trainingsherausforderung.
Die Sicherheitsanfälligkeit bezieht sich darauf, wie Struts diese Art von Daten analysiert und in Informationen umwandelt, die von der Programmiersprache Java interpretiert werden können. Wenn die Sicherheitsanfälligkeit erfolgreich ausgenutzt wird, kann bösartiger Code in solchen Daten versteckt und ausgeführt werden, wenn Struts versucht, ihn zu konvertieren.
https://qz.com/1073221/the-hackers-who-broke-into-equifax-exploited-a-nine-year-old-security-flaw/
Die Sicherheitsanfälligkeit bezieht sich darauf, wie Struts diese Art von Daten analysiert und in Informationen umwandelt, die von der Programmiersprache Java interpretiert werden können.
Investigador de seguridad de aplicaciones - Ingeniero de I+D - Candidato a doctor
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Reservar una demostración
Investigador de seguridad de aplicaciones - Ingeniero de I+D - Candidato a doctor
Letzte Woche wurde berichtet, dass eine mögliche Ursache für die Equifax-Datenschutzverletzung eine Sicherheitslücke im Apache Struts REST-Plugin war. Die ältere Version des Plugins ist anfällig für Remote Code Execution-Angriffe, wenn sie zusammen mit dem XStream-Handler zur Verarbeitung von XML-Payloads verwendet wird. Die Ursache ist Deserialisierung nicht vertrauenswürdiger Daten, was ein bekannter Schwachstellentyp ist. Die Sicherheitslücke, offiziell anerkannt als CVE-2017-9805, wurde am 5. September von Apache in der Struts-Version 2.5.13 gepatcht. Damals war es angekündigt und klar dokumentiert in der Apache Struts-Dokumentation.
Ein einfaches Upgrade auf die neueste Struts-Version kann die Anwendung vor diesem Angriff schützen. Warum aktualisieren Unternehmen also nicht sofort? Das Problem mit Deserialisierungsschwachstellen besteht darin, dass die Routinen, die ausgenutzt werden, häufig diejenigen sind, auf denen der Anwendungscode basiert. In diesem Fall kann die Anwendung des neuen Struts-Patches einige Nebenwirkungen haben, da Dokumentation Zu der Sicherheitsanfälligkeit wird Folgendes erwähnt: „Es ist möglich, dass einige REST-Aktionen nicht mehr funktionieren, weil Standardbeschränkungen für verfügbare Klassen angewendet wurden.“ Es ist sehr wahrscheinlich, dass es einige Zeit dauert, sicherzustellen, dass die Anwendung auch auf neueren Versionen von Struts funktioniert.
Hacker benötigen jedoch nicht so viel Zeit, um veröffentlichte Sicherheitslücken auszunutzen, und wir können bereits einige Exploits beobachten veröffentlicht. Ein Metasploit Modul wurde am 8. September hinzugefügt, also drei Tage, nachdem Apache die Sicherheitslücke gepatcht hat. Es ist eindeutig keine gute Idee, Ihren Patch zu verschieben!
Die Lösung besteht darin, eine von Apache vorgeschlagene Problemumgehung zu implementieren, die in einem kürzeren Zeitrahmen durchgeführt werden könnte. Ein Sicherheitstool mit konfigurierbaren Codierungsrichtlinien, um diese Problemumgehung durchzusetzen oder sie sogar automatisch anzuwenden, würde diesen Prozess erheblich beschleunigen.
Möchten Sie mehr darüber erfahren, wie Sie Code identifizieren und sichern können, der die Deserialisierung nicht vertrauenswürdiger Daten enthält? Besuchen Sie das Secure Code Warrior-Portal für einen klaren Überblick Erklärung und eine Trainingsherausforderung.
Die Sicherheitsanfälligkeit bezieht sich darauf, wie Struts diese Art von Daten analysiert und in Informationen umwandelt, die von der Programmiersprache Java interpretiert werden können. Wenn die Sicherheitsanfälligkeit erfolgreich ausgenutzt wird, kann bösartiger Code in solchen Daten versteckt und ausgeführt werden, wenn Struts versucht, ihn zu konvertieren.
https://qz.com/1073221/the-hackers-who-broke-into-equifax-exploited-a-nine-year-old-security-flaw/
Letzte Woche wurde berichtet, dass eine mögliche Ursache für die Equifax-Datenschutzverletzung eine Sicherheitslücke im Apache Struts REST-Plugin war. Die ältere Version des Plugins ist anfällig für Remote Code Execution-Angriffe, wenn sie zusammen mit dem XStream-Handler zur Verarbeitung von XML-Payloads verwendet wird. Die Ursache ist Deserialisierung nicht vertrauenswürdiger Daten, was ein bekannter Schwachstellentyp ist. Die Sicherheitslücke, offiziell anerkannt als CVE-2017-9805, wurde am 5. September von Apache in der Struts-Version 2.5.13 gepatcht. Damals war es angekündigt und klar dokumentiert in der Apache Struts-Dokumentation.
Ein einfaches Upgrade auf die neueste Struts-Version kann die Anwendung vor diesem Angriff schützen. Warum aktualisieren Unternehmen also nicht sofort? Das Problem mit Deserialisierungsschwachstellen besteht darin, dass die Routinen, die ausgenutzt werden, häufig diejenigen sind, auf denen der Anwendungscode basiert. In diesem Fall kann die Anwendung des neuen Struts-Patches einige Nebenwirkungen haben, da Dokumentation Zu der Sicherheitsanfälligkeit wird Folgendes erwähnt: „Es ist möglich, dass einige REST-Aktionen nicht mehr funktionieren, weil Standardbeschränkungen für verfügbare Klassen angewendet wurden.“ Es ist sehr wahrscheinlich, dass es einige Zeit dauert, sicherzustellen, dass die Anwendung auch auf neueren Versionen von Struts funktioniert.
Hacker benötigen jedoch nicht so viel Zeit, um veröffentlichte Sicherheitslücken auszunutzen, und wir können bereits einige Exploits beobachten veröffentlicht. Ein Metasploit Modul wurde am 8. September hinzugefügt, also drei Tage, nachdem Apache die Sicherheitslücke gepatcht hat. Es ist eindeutig keine gute Idee, Ihren Patch zu verschieben!
Die Lösung besteht darin, eine von Apache vorgeschlagene Problemumgehung zu implementieren, die in einem kürzeren Zeitrahmen durchgeführt werden könnte. Ein Sicherheitstool mit konfigurierbaren Codierungsrichtlinien, um diese Problemumgehung durchzusetzen oder sie sogar automatisch anzuwenden, würde diesen Prozess erheblich beschleunigen.
Möchten Sie mehr darüber erfahren, wie Sie Code identifizieren und sichern können, der die Deserialisierung nicht vertrauenswürdiger Daten enthält? Besuchen Sie das Secure Code Warrior-Portal für einen klaren Überblick Erklärung und eine Trainingsherausforderung.
Die Sicherheitsanfälligkeit bezieht sich darauf, wie Struts diese Art von Daten analysiert und in Informationen umwandelt, die von der Programmiersprache Java interpretiert werden können. Wenn die Sicherheitsanfälligkeit erfolgreich ausgenutzt wird, kann bösartiger Code in solchen Daten versteckt und ausgeführt werden, wenn Struts versucht, ihn zu konvertieren.
https://qz.com/1073221/the-hackers-who-broke-into-equifax-exploited-a-nine-year-old-security-flaw/
Haga clic en el enlace de abajo y descargue el PDF de este recurso.
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Ver informeReservar una demostración
Investigador de seguridad de aplicaciones - Ingeniero de I+D - Candidato a doctor
Letzte Woche wurde berichtet, dass eine mögliche Ursache für die Equifax-Datenschutzverletzung eine Sicherheitslücke im Apache Struts REST-Plugin war. Die ältere Version des Plugins ist anfällig für Remote Code Execution-Angriffe, wenn sie zusammen mit dem XStream-Handler zur Verarbeitung von XML-Payloads verwendet wird. Die Ursache ist Deserialisierung nicht vertrauenswürdiger Daten, was ein bekannter Schwachstellentyp ist. Die Sicherheitslücke, offiziell anerkannt als CVE-2017-9805, wurde am 5. September von Apache in der Struts-Version 2.5.13 gepatcht. Damals war es angekündigt und klar dokumentiert in der Apache Struts-Dokumentation.
Ein einfaches Upgrade auf die neueste Struts-Version kann die Anwendung vor diesem Angriff schützen. Warum aktualisieren Unternehmen also nicht sofort? Das Problem mit Deserialisierungsschwachstellen besteht darin, dass die Routinen, die ausgenutzt werden, häufig diejenigen sind, auf denen der Anwendungscode basiert. In diesem Fall kann die Anwendung des neuen Struts-Patches einige Nebenwirkungen haben, da Dokumentation Zu der Sicherheitsanfälligkeit wird Folgendes erwähnt: „Es ist möglich, dass einige REST-Aktionen nicht mehr funktionieren, weil Standardbeschränkungen für verfügbare Klassen angewendet wurden.“ Es ist sehr wahrscheinlich, dass es einige Zeit dauert, sicherzustellen, dass die Anwendung auch auf neueren Versionen von Struts funktioniert.
Hacker benötigen jedoch nicht so viel Zeit, um veröffentlichte Sicherheitslücken auszunutzen, und wir können bereits einige Exploits beobachten veröffentlicht. Ein Metasploit Modul wurde am 8. September hinzugefügt, also drei Tage, nachdem Apache die Sicherheitslücke gepatcht hat. Es ist eindeutig keine gute Idee, Ihren Patch zu verschieben!
Die Lösung besteht darin, eine von Apache vorgeschlagene Problemumgehung zu implementieren, die in einem kürzeren Zeitrahmen durchgeführt werden könnte. Ein Sicherheitstool mit konfigurierbaren Codierungsrichtlinien, um diese Problemumgehung durchzusetzen oder sie sogar automatisch anzuwenden, würde diesen Prozess erheblich beschleunigen.
Möchten Sie mehr darüber erfahren, wie Sie Code identifizieren und sichern können, der die Deserialisierung nicht vertrauenswürdiger Daten enthält? Besuchen Sie das Secure Code Warrior-Portal für einen klaren Überblick Erklärung und eine Trainingsherausforderung.
Die Sicherheitsanfälligkeit bezieht sich darauf, wie Struts diese Art von Daten analysiert und in Informationen umwandelt, die von der Programmiersprache Java interpretiert werden können. Wenn die Sicherheitsanfälligkeit erfolgreich ausgenutzt wird, kann bösartiger Code in solchen Daten versteckt und ausgeführt werden, wenn Struts versucht, ihn zu konvertieren.
https://qz.com/1073221/the-hackers-who-broke-into-equifax-exploited-a-nine-year-old-security-flaw/
Índice
Investigador de seguridad de aplicaciones - Ingeniero de I+D - Candidato a doctor
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Temas y contenidos de la formación Securecode
Nuestros contenidos líderes en el sector se desarrollan continuamente para adaptarse al cambiante panorama del desarrollo de software, teniendo en cuenta su función. Temas que abarcan desde la inteligencia artificial hasta la inyección XQuery y que se ofrecen para una amplia variedad de funciones, desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo a nuestro catálogo de contenidos por temas y funciones.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para empezar
Cybermon ha vuelto: ¡Derrota al jefe! Las misiones KI ya están disponibles bajo demanda.
Cybermon 2025 Beat the Boss ya está disponible durante todo el año en SCW. Utiliza requisitos de seguridad avanzados de IA/LLM para reforzar el desarrollo seguro de la IA a gran escala.
Explicación de la Ley de Resiliencia Cibernética: qué significa para el desarrollo de software Secure by Design
Descubra qué exige la Ley de Ciberresiliencia de la UE (CRA), a quién se aplica y cómo los equipos de desarrollo pueden prepararse para ella mediante métodos seguros, la prevención de vulnerabilidades de seguridad y el desarrollo de capacidades para los desarrolladores.
Facilitador 1: Criterios de éxito definidos y medibles
El facilitador 1 abre nuestra serie de diez partes titulada «Facilitadores del éxito» y muestra cómo la codificación segura puede combinarse con resultados empresariales como la reducción de riesgos y la velocidad para lograr la madurez del programa a largo plazo.
