デシリアライゼーションの脆弱性にパッチを適用することの難しさ
先週、Equifaxのデータ侵害の背後にある可能性のある原因が、Apache Struts RESTプラグインの脆弱性であることが報告されました。このプラグインの古いバージョンは、XStream ハンドラーと一緒に使用して XML ペイロードを処理すると、リモートコード実行攻撃を受けやすくなります。原因は以下のとおりです。 信頼できないデータの逆シリアル化これはよく知られている脆弱性タイプです。この脆弱性は、正式には以下のように認識されています。 CVE-2017-9805、Strutsバージョン2.5.13で9月5日にApacheによってパッチが適用されました。その時はそうだった 発表された そして 明確に文書化されている Apache Struts のドキュメントにあります。
最新の Struts バージョンにアップグレードするだけでこの攻撃からアプリケーションを保護できるのに、なぜ企業はすぐにアップグレードしないのでしょうか。逆シリアル化の脆弱性の問題は、悪用されるルーチンが、アプリケーションコードが依存しているルーチンであることが多いことです。この場合、新しい Struts パッチを適用すると、次のような副作用が生じる可能性があります。 ドキュメンテーション 脆弱性には、「使用可能なクラスにデフォルトの制限が適用されているため、一部のRESTアクションが機能しなくなる可能性があります」と記載されています。アプリケーションが新しいバージョンの Struts で動作し続けることを確認するには、かなりの時間がかかる可能性があります。
ただし、ハッカーが公開されている脆弱性を悪用し始めるのにそれほど時間はかからず、すでにいくつかの悪用が見られます。 公開された。メタスプリット モジュール が9月8日に追加されました。これは、Apacheが脆弱性にパッチを適用してから3日後のことです。パッチを延期するのは明らかに良い考えではありません。
解決策は、Apacheが提案した回避策を実装することです。これはより短い時間枠で実行できます。この回避策を実施したり、自動的に適用したりするための設定可能なコーディングガイドラインを備えたセキュリティツールがあれば、このプロセスを大幅にスピードアップできます。
信頼できないデータの逆シリアル化を含むコードを識別して保護する方法について詳しく知りたいですか?詳細については、セキュア・コード・ウォリアー・ポータルをご覧ください。 説明とトレーニングチャレンジ。
この脆弱性は、Strutsがそのようなデータを解析して、Javaプログラミング言語で解釈できる情報に変換する方法に関係しています。この脆弱性の悪用に成功すると、そのようなデータの中に悪意のあるコードが隠され、Struts が変換を試みたときに実行される可能性があります。
https://qz.com/1073221/the-hackers-who-broke-into-equifax-exploited-a-nine-year-old-security-flaw/
アプリケーションセキュリティ研究者-研究開発エンジニア-博士候補者
Secure Code Warrior schützt Ihren Code während des gesamten Softwareentwicklungszyklus und hilft Ihnen dabei, eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie Anwendungs-Sicherheitsmanager, Entwickler, CISO oder Sicherheitsbeauftragter sind – wir helfen Ihnen dabei, die mit unsicherem Code verbundenen Risiken zu minimieren.
デモを予約
アプリケーションセキュリティ研究者-研究開発エンジニア-博士候補者
先週、Equifaxのデータ侵害の背後にある可能性のある原因が、Apache Struts RESTプラグインの脆弱性であることが報告されました。このプラグインの古いバージョンは、XStream ハンドラーと一緒に使用して XML ペイロードを処理すると、リモートコード実行攻撃を受けやすくなります。原因は以下のとおりです。 信頼できないデータの逆シリアル化これはよく知られている脆弱性タイプです。この脆弱性は、正式には以下のように認識されています。 CVE-2017-9805、Strutsバージョン2.5.13で9月5日にApacheによってパッチが適用されました。その時はそうだった 発表された そして 明確に文書化されている Apache Struts のドキュメントにあります。
最新の Struts バージョンにアップグレードするだけでこの攻撃からアプリケーションを保護できるのに、なぜ企業はすぐにアップグレードしないのでしょうか。逆シリアル化の脆弱性の問題は、悪用されるルーチンが、アプリケーションコードが依存しているルーチンであることが多いことです。この場合、新しい Struts パッチを適用すると、次のような副作用が生じる可能性があります。 ドキュメンテーション 脆弱性には、「使用可能なクラスにデフォルトの制限が適用されているため、一部のRESTアクションが機能しなくなる可能性があります」と記載されています。アプリケーションが新しいバージョンの Struts で動作し続けることを確認するには、かなりの時間がかかる可能性があります。
ただし、ハッカーが公開されている脆弱性を悪用し始めるのにそれほど時間はかからず、すでにいくつかの悪用が見られます。 公開された。メタスプリット モジュール が9月8日に追加されました。これは、Apacheが脆弱性にパッチを適用してから3日後のことです。パッチを延期するのは明らかに良い考えではありません。
解決策は、Apacheが提案した回避策を実装することです。これはより短い時間枠で実行できます。この回避策を実施したり、自動的に適用したりするための設定可能なコーディングガイドラインを備えたセキュリティツールがあれば、このプロセスを大幅にスピードアップできます。
信頼できないデータの逆シリアル化を含むコードを識別して保護する方法について詳しく知りたいですか?詳細については、セキュア・コード・ウォリアー・ポータルをご覧ください。 説明とトレーニングチャレンジ。
この脆弱性は、Strutsがそのようなデータを解析して、Javaプログラミング言語で解釈できる情報に変換する方法に関係しています。この脆弱性の悪用に成功すると、そのようなデータの中に悪意のあるコードが隠され、Struts が変換を試みたときに実行される可能性があります。
https://qz.com/1073221/the-hackers-who-broke-into-equifax-exploited-a-nine-year-old-security-flaw/
先週、Equifaxのデータ侵害の背後にある可能性のある原因が、Apache Struts RESTプラグインの脆弱性であることが報告されました。このプラグインの古いバージョンは、XStream ハンドラーと一緒に使用して XML ペイロードを処理すると、リモートコード実行攻撃を受けやすくなります。原因は以下のとおりです。 信頼できないデータの逆シリアル化これはよく知られている脆弱性タイプです。この脆弱性は、正式には以下のように認識されています。 CVE-2017-9805、Strutsバージョン2.5.13で9月5日にApacheによってパッチが適用されました。その時はそうだった 発表された そして 明確に文書化されている Apache Struts のドキュメントにあります。
最新の Struts バージョンにアップグレードするだけでこの攻撃からアプリケーションを保護できるのに、なぜ企業はすぐにアップグレードしないのでしょうか。逆シリアル化の脆弱性の問題は、悪用されるルーチンが、アプリケーションコードが依存しているルーチンであることが多いことです。この場合、新しい Struts パッチを適用すると、次のような副作用が生じる可能性があります。 ドキュメンテーション 脆弱性には、「使用可能なクラスにデフォルトの制限が適用されているため、一部のRESTアクションが機能しなくなる可能性があります」と記載されています。アプリケーションが新しいバージョンの Struts で動作し続けることを確認するには、かなりの時間がかかる可能性があります。
ただし、ハッカーが公開されている脆弱性を悪用し始めるのにそれほど時間はかからず、すでにいくつかの悪用が見られます。 公開された。メタスプリット モジュール が9月8日に追加されました。これは、Apacheが脆弱性にパッチを適用してから3日後のことです。パッチを延期するのは明らかに良い考えではありません。
解決策は、Apacheが提案した回避策を実装することです。これはより短い時間枠で実行できます。この回避策を実施したり、自動的に適用したりするための設定可能なコーディングガイドラインを備えたセキュリティツールがあれば、このプロセスを大幅にスピードアップできます。
信頼できないデータの逆シリアル化を含むコードを識別して保護する方法について詳しく知りたいですか?詳細については、セキュア・コード・ウォリアー・ポータルをご覧ください。 説明とトレーニングチャレンジ。
この脆弱性は、Strutsがそのようなデータを解析して、Javaプログラミング言語で解釈できる情報に変換する方法に関係しています。この脆弱性の悪用に成功すると、そのようなデータの中に悪意のあるコードが隠され、Struts が変換を試みたときに実行される可能性があります。
https://qz.com/1073221/the-hackers-who-broke-into-equifax-exploited-a-nine-year-old-security-flaw/
Klicken Sie auf den folgenden Link, um die PDF-Datei dieser Ressource herunterzuladen.
Secure Code Warrior schützt Ihren Code während des gesamten Softwareentwicklungszyklus und hilft Ihnen dabei, eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie Anwendungs-Sicherheitsmanager, Entwickler, CISO oder Sicherheitsbeauftragter sind – wir helfen Ihnen dabei, die mit unsicherem Code verbundenen Risiken zu minimieren.
Bericht anzeigenデモを予約
アプリケーションセキュリティ研究者-研究開発エンジニア-博士候補者
先週、Equifaxのデータ侵害の背後にある可能性のある原因が、Apache Struts RESTプラグインの脆弱性であることが報告されました。このプラグインの古いバージョンは、XStream ハンドラーと一緒に使用して XML ペイロードを処理すると、リモートコード実行攻撃を受けやすくなります。原因は以下のとおりです。 信頼できないデータの逆シリアル化これはよく知られている脆弱性タイプです。この脆弱性は、正式には以下のように認識されています。 CVE-2017-9805、Strutsバージョン2.5.13で9月5日にApacheによってパッチが適用されました。その時はそうだった 発表された そして 明確に文書化されている Apache Struts のドキュメントにあります。
最新の Struts バージョンにアップグレードするだけでこの攻撃からアプリケーションを保護できるのに、なぜ企業はすぐにアップグレードしないのでしょうか。逆シリアル化の脆弱性の問題は、悪用されるルーチンが、アプリケーションコードが依存しているルーチンであることが多いことです。この場合、新しい Struts パッチを適用すると、次のような副作用が生じる可能性があります。 ドキュメンテーション 脆弱性には、「使用可能なクラスにデフォルトの制限が適用されているため、一部のRESTアクションが機能しなくなる可能性があります」と記載されています。アプリケーションが新しいバージョンの Struts で動作し続けることを確認するには、かなりの時間がかかる可能性があります。
ただし、ハッカーが公開されている脆弱性を悪用し始めるのにそれほど時間はかからず、すでにいくつかの悪用が見られます。 公開された。メタスプリット モジュール が9月8日に追加されました。これは、Apacheが脆弱性にパッチを適用してから3日後のことです。パッチを延期するのは明らかに良い考えではありません。
解決策は、Apacheが提案した回避策を実装することです。これはより短い時間枠で実行できます。この回避策を実施したり、自動的に適用したりするための設定可能なコーディングガイドラインを備えたセキュリティツールがあれば、このプロセスを大幅にスピードアップできます。
信頼できないデータの逆シリアル化を含むコードを識別して保護する方法について詳しく知りたいですか?詳細については、セキュア・コード・ウォリアー・ポータルをご覧ください。 説明とトレーニングチャレンジ。
この脆弱性は、Strutsがそのようなデータを解析して、Javaプログラミング言語で解釈できる情報に変換する方法に関係しています。この脆弱性の悪用に成功すると、そのようなデータの中に悪意のあるコードが隠され、Struts が変換を試みたときに実行される可能性があります。
https://qz.com/1073221/the-hackers-who-broke-into-equifax-exploited-a-nine-year-old-security-flaw/
目次
アプリケーションセキュリティ研究者-研究開発エンジニア-博士候補者
Secure Code Warrior schützt Ihren Code während des gesamten Softwareentwicklungszyklus und hilft Ihnen dabei, eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie Anwendungs-Sicherheitsmanager, Entwickler, CISO oder Sicherheitsbeauftragter sind – wir helfen Ihnen dabei, die mit unsicherem Code verbundenen Risiken zu minimieren.
デモを予約[ダウンロード]Ressourcen für den Einstieg
Themen und Inhalte der Secure-Code-Schulung
Unsere branchenführenden Inhalte werden unter Berücksichtigung der Aufgaben unserer Kunden ständig weiterentwickelt, um mit der sich ständig verändernden Softwareentwicklungsumgebung Schritt zu halten. Sie decken alle Themen von KI bis hin zu XQuery-Injection ab und sind für verschiedene Aufgabenbereiche konzipiert, von Architekten und Ingenieuren bis hin zu Produktmanagern und Qualitätssicherungsfachleuten. Werfen Sie einen Blick auf die Inhalte unseres Content-Katalogs, sortiert nach Themen und Aufgabenbereichen.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
「Cybermon 2025 Beat the Boss」 kann nun das ganze Jahr über bei SCW gespielt werden. Führen Sie anspruchsvolle AI/LLM-Sicherheitsherausforderungen ein, um die sichere AI-Entwicklung in großem Maßstab zu stärken.
Erläuterung des Cyber-Resilience-Gesetzes: Bedeutung für die Entwicklung sicherer Software
Erfahren Sie, was das EU-Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams auf Secure-by-Design-Praktiken, Schwachstellenprävention und die Kompetenzentwicklung von Entwicklern vorbereiten können.
Enabler 1: Definierte und messbare Erfolgskriterien
Enabler 1 ist der erste Teil der zehnteiligen Reihe „Enablers of Success“ und zeigt, wie sichere Programmierung mit geschäftlichen Ergebnissen wie Risikominderung und Geschwindigkeit verknüpft werden kann, um Programme langfristig zu optimieren.
