В популярной Java-библиотеке зафиксирована серьезная уязвимость, позволяющая удаленно выполнять код. Брешь была обнаружена 9 месяцев назад специалистами в сфере информационной безопасности Крисом Фрохоффом и Габриэлем Лоуренсом. В зоне риска безопасности оказались тысячи приложений и серверов Java.
Уязвимость находится в компоненте Collections библиотеки Apache Commons, включающей широко применяемые элементы Java, поддержку которых осуществляет Apache Software Foundation. Библиотеку по умолчанию используют различные серверы приложений Java, а также такие продукты, как IBM WebSphere, JBoss, Jenkins, OpenNMS и Oracle WebLogic. Брешь может быть использована киберпреступником для проведения атаки десериализации.
Информацию об уязвимости впервые обнародовали еще в январе этого года. Но брешь не вызвала большого интереса, поскольку, по мнению многих, ответственность за предотвращение атак десериализации должны нести разработчики Java-приложений, а не сами создатели библиотеки.