Эксперты исправляют критическую уязвимость в тысячах проектах


OpenSourceКоманда из 50 сотрудников Google устранила критическую уязвимость в тысячах опубликованных на GitHub проектов с открытым исходным кодом. Все исправленные проекты использовали популярную Java-библиотеку Apache Commons Collections (ACC).

Уязвимость (CVE-2015-6420) назвали Mad Gadget. Она содержится в компоненте Collections библиотеки Apache Commons, включающей широко применяемые элементы Java, поддержку которых осуществляет Apache Software Foundation. Проэксплуатировав уязвимость, неавторизованный атакующий может удаленно выполнить произвольный код на целевой системе.

В качестве примера эксплуатации уязвимости можно привести прошлогоднюю кибератаку на компьютерную систему агентства общественного транспорта Сан-Франциско. Тогда порядка 2 тыс. компьютеров организации оказались инфицированы вымогательским ПО.

После обнародования данных об уязвимости Mad Gadget крупные компании, включая:

  • Oracle;
  • Cisco;
  • Red Hat;
  • VMWare;
  • IBM;
  • Intel;
  • Adobe;
  • HP;
  • Jenkins;
  • SolarWinds,

заявили, что уже исправили эту проблему в своих программных продуктах.

Спустя несколько месяцев одним из сотрудников Google было замечено, что огромное количество открытых проектов до сих пор продолжает использовать уязвимые версии ACC библиотеки.

Чтобы принять меры для защиты сообщества open source, была сформирована команда, которая и обновила код вместо разработчиков.


Обновлено (04.03.2017 17:42)