Java bekommt immer wieder einen schlechten Ruf, wenn es um die Sicherheit geht – aber wenn man bedenkt, dass die Hälfte der Unternehmensanwendungen in den letzten 15 Jahren mit dieser Sprache geschrieben wurden, sind ihre Verbreitung (und die allgemein bekannten Angriffsvektoren) vielleicht mehr Schuld als die Java innewohnenden Sicherheitsschwächen allein. Zwar werden derzeit neue Ansätze entwickelt (z. B. Rask, Waratek), um die Sicherheit von Java-Webanwendungen auf der Ebene der Java Virtual Machine (JVM) zu verbessern, doch für die meisten Unternehmen kann die Einführung traditioneller Sicherheitsmaßnahmen für Java-Anwendungen zum Schutz vor den meisten Java-bezogenen Exploits beitragen.
Aufgrund der Allgegenwärtigkeit von Java ist ein umfassendes Schwachstellenmanagement für Java-bezogene Tools und Technologien von entscheidender Bedeutung für die Aufrechterhaltung einer hohen Sicherheit – unabhängig davon, ob Sie eine komplette CI/CD-Pipeline oder ein paar interne Unternehmens-Webanwendungen betreiben. Nachfolgend finden Sie die 10 größten Schwachstellen in der Java-Technologie, einschließlich Tools und beliebter Anwendungen zur Unterstützung der Java-basierten Anwendungsentwicklung.
JUnit
Dieses Unit-Testing-Framework ist ein Standardbestandteil der meisten Java-Entwickler-Toolkits und ermöglicht schnelle und automatisierte Codebase-Tests. JUnit-Dateien, die mit anderen Anwendungen geliefert werden, können jedoch Schwachstellen enthalten. Beispielsweise enthalten Versionen des Google Web Toolkit (GWT) vor 2.5.1 RC mehrere Cross-Site-Scripting (XSS)-Schwachstellen.
Jenkins
Als der am häufigsten verwendete Continuous Integration (CI)-Server auf dem Markt hat Jenkins dementsprechend eine große Anhängerschaft unter Java-Entwicklern. Leider bedeutet Popularität als Continuous-Integration-Tool in der Regel auch mehr Schwachstellen und Exploits – und im Fall von Jenkins gibt es mehrere XSS-, Cross-Site-Request-Forgery- (CSRF) und Denial-of-Service- (Dos) Schwachstellen.
Hibernate
Das beliebte ORM-Framework Hibernate wird von Java-Entwicklern häufig für die Abbildung relationaler Datenbankobjekte wie Tabellen auf Java-Klassen verwendet. Die Versionen 4.1.0 vor 4.2.1, 4.3.x vor 4.3.2 und 5.x vor 5.1.2 des Open-Source-Tools enthalten eine Schwachstelle, die es Angreifern ermöglicht, den Java Security Manager (JSM) zu umgehen.
Maven
Apache Maven ist ein weit verbreiteter Build-Manager für Java-Projekte, der die zentrale Verwaltung von Build, Reporting und Dokumentation eines Projekts ermöglicht. Eine Schwachstelle in Apache Maven 3.0.4 ermöglicht es Hackern, Server in einem Man-in-the-Middle-Angriff zu fälschen.
Tomcat
Dieser beliebte Java-Webapplikationsserver ist ein Dauerbrenner unter Entwicklern für die Erstellung von Servlets und Anwendungen mit JavaServer Pages. Tomcat ist schon über ein Jahrzehnt alt und hat eine relativ beeindruckende Anzahl von Sicherheitslücken angehäuft, von XSS bis CSRF, von denen viele in freier Wildbahn ausgenutzt wurden.
Java 7
Trotz der Einführung von Java 8 im letzten Jahr wird Java 7 immer noch überwiegend verwendet, obwohl erwartet wird, dass Version 8 bis 2016 an der Spitze stehen wird. Es versteht sich von selbst, dass jede Java-Version unter 7 sofort aktualisiert werden sollte – selbst Version 7 muss wegen ihrer zahlreichen Schwachstellen erheblich verbessert werden.
Spring Framework
Spring ist ein Anwendungs-Framework mit einem eigenen Model-View-Controller-Framework für Java, das die Trennung von Eingabe-, Geschäfts- und UI-Logik ermöglicht. Als Open-Source-Projekt ist Spring nicht ohne einen fairen Anteil an dokumentierten Schwachstellen.
JavaServer Faces
JavaServer Faces (JSF) ist ein Präsentations-Framework für Java, das die Entwicklung von wiederverwendbaren Elementen der Benutzeroberfläche erleichtert. Eine Schwachstelle in Apache MyFaces Core 2.0.x vor 2.0.12 und 2.1.x vor 2.1.6 kann entfernten Angreifern die Möglichkeit geben, beliebige Dateien zu lesen.
Eclipse IDE
Eclipse ist ein beliebtes Desktop-Tool zum Erstellen von Webanwendungen in Java und dient seit Jahren als bevorzugte integrierte Entwicklungsumgebung (IDE) von Java-Entwicklern. Leider sind ausgerechnet bestimmte Versionen seiner Hilfedateien anfällig für XSS-bezogene Exploits.
Vaadin
Vaadin ist ein beliebtes Java-Framework für die Erstellung moderner Java-Webanwendungen – moderne, einseitige Webanwendungen mit Java. Eine XSS-Schwachstelle im Framework kann entfernten Angreifern ermöglichen, beliebige Skripte in die Seiten einzuschleusen.
Behebung
Um die oben genannten Schwachstellen zu beheben, müssen Sie feststellen, welche dieser Technologien in Ihrer Umgebung verwendet werden, und die Website des jeweiligen Anbieters/Projekts besuchen, um Informationen zu Updates/Patches zu erhalten. UpGuard kann alle diese Elemente mit wenigen Mausklicks automatisch finden. Darüber hinaus kann unsere bearbeitbare Java-Schwachstellenrichtlinie erweitert werden, um benutzerdefinierte Prüfungen für zusätzliche Java-Tools zu ermöglichen. Testen Sie es noch heute – es ist kostenlos.