Java får konsekvent et dårligt ry, når det kommer til sikkerhed – men eftersom halvdelen af virksomhedsapplikationer i de sidste 15 år blev skrevet med sproget, kan dets udbredelse (og almindeligt kendte angrebsvektorer) være mere skyld i det end Javas iboende sikkerhedssvagheder alene. Når det er sagt, er der ved at blive udviklet nye metoder (f.eks. Rask, Waratek) til at forbedre sikkerheden for Java-webapplikationer på Java Virtual Machine (JVM)-niveau, men for de fleste organisationer kan det at indføre traditionelle sikkerhedsforsvar for Java-applikationer hjælpe med at beskytte mod størstedelen af Java-relaterede exploits.
På grund af Javas allestedsnærværelse er omfattende sårbarhedsstyring af Java-relaterede værktøjer og teknologier afgørende for at opretholde en stærk sikkerhed – uanset om du kører en komplet CI/CD-pipeline eller et par interne webapplikationer i virksomheden. Følgende er de 10 største sårbarheder i Java-teknologien, som omfatter værktøj og populære applikationer til understøttelse af Java-baseret applikationsudvikling.
JUnit
Denne enhedstestramme er et standardelement i de fleste Java-udvikleres værktøjskasser og muliggør hurtig og automatiseret test af kodebasen. JUnit-filer, der leveres sammen med andre programmer, kan imidlertid rumme sårbarheder. F.eks. indeholder versioner af Google Web Toolkit (GWT) før 2.5.1 RC flere XSS-sårbarheder (cross-site scripting).
Jenkins
Som den mest almindeligt anvendte continuous integration (CI)-server på markedet har Jenkins i overensstemmelse hermed en stor tilslutning blandt Java-udviklere. Desværre betyder popularitet som værktøj til kontinuerlig integration normalt flere sårbarheder og udnyttelser – og i Jenkins’ tilfælde findes der flere XSS-, CSRF- (cross-site request forgery) og Dos-sårbarheder (denial-of-service).
Hibernate
Populær ORM-ramme Hibernate er almindeligt anvendt blandt Java-udviklere til at mappe relationelle databaseobjekter som tabeller til Java-klasser. Versionerne 4.1.0 før 4.2.1, 4.3.x før 4.3.2 og 5.x før 5.1.2 af open source-værktøjet indeholder en sårbarhed, der kan give angribere mulighed for at omgå Java Security Manager (JSM).
Maven
Apache Maven er en bredt anvendt build manager til Java-projekter, der giver mulighed for central styring af et projekts build, rapportering og dokumentation. En sårbarhed i Apache Maven 3.0.4 gør det muligt for fjernhackere at forfalske servere i et man-in-the-middle-angreb.
Tomcat
Denne populære Java-webapplikationsserver har været en evig favorit blandt udviklere til opbygning af servlets og applikationer med JavaServer Pages. Tomcat er godt og vel over ti år gammel og har samlet en relativt imponerende række sikkerhedshuller fra XSS til CSRF-sårbarheder – hvoraf mange er blevet udnyttet i naturen.
Java 7
Trods Java 8’s indtog sidste år er Java 7 stadig i overvejende brug – selv om det forventes, at version 8 i 2016 vil føre an i flokken. Det siger sig selv, at enhver version af Java under 7 bør opdateres med det samme – selv version 7 har brug for betydelig afhjælpning af sin flåde af sårbarheder.
Spring Framework
Spring er en applikationsramme med sin egen model-view-controller-ramme til Java, der giver mulighed for adskillelse af input-, forretnings- og brugergrænsefladelogik. Spring er et open source-projekt, men er ikke uden sin del af dokumenterede sårbarheder.
JavaServer Faces
JavaServer Faces (JSF) er en præsentationsramme til Java, der gør det lettere at udvikle genanvendelige brugergrænsefladeelementer. En sårbarhed i Apache MyFaces Core 2.0.x før 2.0.12 og 2.1.x før 2.1.6 kan give fjernangribere mulighed for at læse vilkårlige filer.
Eclipse IDE
Eclipse er et populært desktopværktøj til opbygning af webapplikationer i Java og har i årevis fungeret som det foretrukne integrerede udviklingsmiljø (IDE) for Java-udviklere. Desværre er visse versioner af dets hjælpefiler – af alle ting – sårbare over for XSS-relaterede exploits.
Vaadin
Vaadin er en populær Java-ramme til opbygning af moderne Java-webapplikationer – tænk på moderne webapplikationer med en enkelt side, der er drevet af Java. En XSS-sårbarhed i rammen kan gøre det muligt for fjernangribere at injicere vilkårlige scripts i siderne.
Remediation
For at rette ovenstående sårbarheder skal du identificere, hvilke af disse teknologier der anvendes i dit miljø, og besøge den respektive leverandørs/projekts websted for at få oplysninger om opdateringer/rettelser. UpGuard kan finde alle disse elementer automatisk med et par museklik. Desuden kan vores redigerbare Java-sårbarhedspolitik vokse, så den kan rumme eventuelle brugerdefinerede kontroller for yderligere Java-værktøj. Giv det en prøvekørsel i dag – det er gratis.