viernes, 27 de noviembre de 2015

Deserialization Bug


La vulnerabilidad ocurre cuando una aplicación realiza un técnica utilizada para transferir estructuras de datos sobre la red y entre equipos de cómputo, conocida como "serialización".

Al no llevar a cabo una revisión de las entradas permitidas, conocida como deserialización, un atacante aprovecha para insertar un "objeto" malicioso que a su vez es ejecutado en la memoria del servidor donde vive la aplicación, lo cual le permite desde ejecutar cualquier comando hasta tal vez tomar el control remoto del servidor.

A esta debilidad no se le ha dado la criticidad que merece, por lo cual es importante revisar el detalle y determinar si hay afectación y las posibles medidas de remediación. Hay exploits disponibles, lo cual hace imprescindible tomar medidas en el corto plazo. Te dejo ligas para obtener más información:

http://www.securityweek.com/remote-code-execution-flaw-found-java-app-servers
http://www.contrastsecurity.com/security-influencers/java-serialization-vulnerability-threatens-millions-of-applications
https://dzone.com/articles/point-of-viewwhy-the-java-serialization-vulnerabil