OpenTelemetry Java Instrumentation предоставляет библиотеки автоматической приборов и приборов OpenTelemetry для Java. В версиях до 2.26.1 …
OpenTelemetry Java Instrumentation предоставляет библиотеки автоматической приборов и приборов OpenTelemetry для Java. В версиях до 2.26.1 приборы RMI зарегистрировали пользовательские конечные точки, которые дезериализировали входящие данные без применения фильтров сериализации. На JDK версии 16 и ранее злоумышленник с сетевым доступом к порту JMX или RMI на инструментированном JVM может использовать это для потенциального удаления кода. Все три из следующих условий должны быть верны, чтобы использовать эту уязвимость: Во-первых, приборы OpenTelemetry Java прикреплены в качестве агента Java (`-javagent``) на Java 16 или ранее. Во-вторых, порт JMX/RMI был явно настроен через `-Dcom.sun.management.jmxremote.port` и доступен для сети. В-третьих, на пути к классу присутствует совместимая с цепью гаджетов библиотека. Это приводит к произвольному удаленному исполнению кода с привилегиями пользователя, управляющем инструментальным JVM. Для JDK >= 17 никаких действий не требуется, но настоятельно рекомендуется модернизировать. Для JDK < 17, обновление до версии 2.26.1 или более поздней версии. В качестве обходного пути установите свойство системы `-Dotel.instrumentation.rmi.enabled=false` для отключения интеграции RMI.
Продукт десериализует ненадёжные данные без достаточной проверки того, что полученные данные окажутся допустимыми.
https://cwe.mitre.org/data/definitions/502.html →Открыть в коллекции CWE →Злоумышленник пытается эксплуатировать приложение путём внедрения дополнительного вредоносного содержимого в процессе обработки сериализованных объектов. Разработчики используют сериализацию для преобразования данных или состояния в статичный двоичный формат с целью сохранения на диск или передачи по сети. Впоследствии эти объекты десериализуются для восстановления данных/состояния. Внедряя некорректный объект в уязвимое приложение, злоумышленник потенциально может скомпрометировать его, манипулируя процессом десериализации. Это может привести к ряду нежелательных последствий, включая удалённое выполнение кода.
https://capec.mitre.org/data/definitions/586.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| Отслеживается | ||
| opentelemetry_instrumentation_for_java | * | Отслеживается |