События

В тысячах открытых проектов исправлена критическая уязвимость

В тысячах открытых проектов исправлена критическая уязвимость

В рамках инициативы Operation Rosehub команда из 50 сотрудников Google устранила критическую уязвимость в тысячах опубликованных на GitHub проектов с открытым исходным кодом, использующих популярную Java-библиотеку Apache Commons Collections (ACC).

Уязвимость (CVE-2015-6420), окрещенная Mad Gadget, содержится в компоненте Collections библиотеки Apache Commons, включающей широко применяемые элементы Java, поддержку которых осуществляет Apache Software Foundation. Проэксплуатировав уязвимость, неавторизованный атакующий может удаленно выполнить произвольный код на целевой системе.

Ярким примером эксплуатации уязвимости может служить прошлогодняя кибератака на компьютерную систему агентства общественного транспорта Сан-Франциско, в результате которой порядка 2 тыс. компьютеров организации оказались инфицированы вымогательским ПО.

После обнародования данных об уязвимости Mad Gadget крупные компании, включая Oracle, Cisco, Red Hat, VMWare, IBM, Intel, Adobe, HP, Jenkins и SolarWinds заявили, что уже исправили эту проблему в своих программных продуктах. Однако спустя несколько месяцев один из сотрудников Google заметил, что огромное количество открытых проектов продолжает использовать уязвимые версии ACC библиотеки.

«Мы поняли, что лучшие практики индустрии не сработали. Нужно было принять меры для защиты сообщества open source. Поэтому вместо того, чтобы публиковать предупреждение с обращением к разработчикам исправить уязвимость, мы решили сформировать команду и обновить код вместо них», - написала программный инженер Джастин Танни (Justine Tunney) в блоге компании.

Источник

Автор: Сергей Куприянов
2.03.2017 (17:25)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2017

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.