Fejl i udbredt Java-bibliotek bag amerikansk kæmpelæk

Hul i Apache Struts var årsag til læk af millionvis af følsomme persondata.

Det var en fejl i Java-biblioteket Apache Struts, som gav kriminelle adgang til millioner af personfølsomme data i USA i sidste uge.

Det fremgår af en rapport fra finansanalysefirmaet William Baird & Co.

Læs også: Næsten halvdelen af USA's befolknings personoplysninger blotlagt i nyt, enormt hack

Der fremgår ikke af rapporten, om der er tale om den sårbarhed, som Apache-projektet offentligjorde i sidste uge, eller om det drejer sig om et hul i en tidligere version af biblioteket.

Læs også: Kritisk sikkerhedshul i populær webserver-komponent

Omkring 143 millioner amerikanske forbrugeres personoplysninger kan være lækket, efter at kriminelle udnyttede svagheden i firmaet Equifax' website. Det er blandt de største læk af persondata endnu set og rammer omkring 44 procent af USA's befolkning.

Lækagen startede i maj og forsatte indtil juli. Ud over amerikanere er data på britiske og canadiske forbrugere også lækket.

De lækkede data er personnumre, fødselsdatoer, adresser og i visse tilfælde kørekortnumre. Derudover skulle hackerne også have fået adgang til 209.000 personers kreditkortnumre samt kreditoplysninger for 182.000 personer.

Den seneste sårbarhed i Apache Struts udgør en stor risiko, da biblioteket ofte anvendes i webapplikationer rettet mod det offentlige internet. Det benyttes for eksempel i mange flybooking- og internetbank-systemer. Organisationer, der benytter Struts, opfordres til at opgradere komponenterne hurtigst muligt.

Alle versioner af Struts udgivet siden 2008 indeholder sårbarheden. Hullet er lukket i den seneste udgave, version 2.5.13.

Sårbarheden gør det muligt for en angriber at afvikle en vilkårlig kode på en hvilken som helst server, som er vært for en applikation, der benytter Struts og dets populære REST-komponent. Svagheden skyldes den måde, hvorpå Struts deserialiserer data, som softwaren ikke bør stole på.

Deserialisering er processen, hvor et objekt laves om til en strøm af bytes, som kan sendes over nettet og gemmes på disk for senere at blive indlæst igen. Det er en almindelig kendt type fejl i Java-verdenen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (3)
Magnus Jørgensen

Deserialisering er processen, hvor et objekt laves om til en strøm af bytes, som kan sendes over nettet og gemmes på disk for senere at blive indlæst igen. Det er en almindelig kendt type fejl i Java-verdenen.

Deserialisering er processen, hvor en strøm af bytes, som kan sendes over nettet, bliver fortolket til objekter af en type der er kendt af programmet der deserialiserer. Det er en almindelig kendt type fejl i Java-verdenen at der ikke bliver tjecket om byte strømmens data stemmer overens med objecterne. Fejlen kan udnyttes af en hacker som kan indsætte data i bytestrømmen, så det bliver eksekveret under kørselsmiljøet som om at det var en del af programmet.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 10:31

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017