Una vulnerabilidad en una librería deja a miles de apps Java en riesgo de ejecución remota

Una conocida librería de apps Java contiene una importante vulnerabilidad, que fue descubierta hace nueve meses, y que continúa poniendo en riesgo a miles de servidores y aplicaciones Java. El defecto ha sido localizado en Apache Commons, una librería que contienen un conjunto de componentes Java cuyo mantenimiento corre a cago de la Apache Software Foundation. La librería se emplea por defecto en múltiples aplicaciones desarrolladas en Java y en otros productos como Oracle WebLogic, IBM WebSphere, JBoss, Jenkins y OpenNMS.

En concreto, la situación de la vulnerabilidad se encuentra localizada en el componente Collections de los sistemas Apache Commons; un defecto que puede llegar a originar la “serialización” de objetos y, por tanto, la visibilidad de los mismos poniendo la información en riesgo. En los lenguajes de programación, la serialización es el proceso de conversión de datos a formato binario para funciones de almacenamiento, o para enviar por la red. La “deserialización” , en este caso, vendría a invertir dicho proceso.

Esta vulnerabilidad fue puesta en conocimiento de la comunidad TI por primera vez en una conferencia sobre seguridad en enero de este año por los investigadores Chris Frohoff y Gabriel Lawrence, pero no recibió demasiada atención, probablemente porque muchos profesionales están convencidos de que la responsabilidad de prevenir la deserialización de los ataques radica en los desarrolladores de aplicaciones Java, y no en los creadores de librerías.

Para contrarrestar este riesgo, algún fabricante como Oracle ha desplegado una alerta de seguridad que contiene instrucciones temporales para la mitigación del riesgo para los usuarios de su plataforma WebLogic Server, mientras trabaja en hallar una solución permanente. Por su parte, los desarrolladores de Apache Commons Collection están trabajando intensamente en la reparación de la vulnerabilidad.