07.03.2017 Новости, Безопасность, Открытый код/LinuxИсследователь безопасности Google сообщила первые подробности о работе команды добровольцев из 50 сотрудников компании, которая в прошлом году помогла внести исправления в более 2600 проектов с открытым исходным кодом в связи с критической уязвимостью в широко использующемся Java-процессе. В ноябре 2015 г. на так называемую проблему десериализации (восстановления объектов из последовательности байтов) Java впервые обратил внимание консультант FoxGlove Security, который продемонстрировал атаки, эксплуатирующие уязвимость в WebLogic, Websphere, JBoss и других продуктах категории промежуточного ПО (middleware). Эта демонстрация побудила выявить уязвимости в ПО многих вендоров, включая Oracle, IBM и Cisco, и в итоге многие исследователи безопасности пришли к заключению, что миллионы приложений — будь то коммерчески поставляемые, заказные или с открытым исходным кодом — восприимчивы к обнаруженной проблеме. Через пять месяцев после демонстрации консультанта по безопасности FoxGlove один из инженеров Google обратил внимание, что ряд проектов Open Source все еще использует версии Java-библиотеки Apache Commons Collection, в которых присутствовал источник проблемы. Для исправления дефекта, как правило, требуется всего лишь одна строка кода, и инженер начал обновлять кодовые базы уязвимых проектов Open Source через пользовательский интерфейс GitHub, сперва собственными силами, а затем с помощью других сотрудников. «По мере продвижения работы стало ясно, что проблема масштабнее, чем ...
читать далее.