ترمیم ضعف امنیتی در یک کتابخانه پراستفاده Java
به گزارش شرکت مهندسی شبکه گستر به نقل از گروه SourceClear، یک ضعف امنیتی حساس، از نوع CSRF، در یکی از کتابخانه های پراستفاده Java ترمیم شده است. به برنامه نویسانی که از کتابخانه Java Spring Social در برنامه های خود استفاده می کنند، توصیه می شود در اسرع وقت اقدام به ارتقای این کتابخانه نمایند.
Java Spring Social، برنامه نویس را قادر می کند تا فرآیند اصالت سنجی در سایت خود را، از طریق توابع OAuth، توسط شبکه های اجتماعی همچون GitHub،وFacebook،وLinkedIn و Twitter انجام دهد. کاربر نیز برای ورود به سایت می تواند نام کاربری و گذرواژه شبکه اجتماعی خود را وارد کند. در صورت موفقیت در سواستفاده از این ضعف امنیتی، اطلاعات اصالت سنجی شبکه اجتماعی کاربر که در سایت آسیب پذیر وارد شده بدست نفوذگر می افتد.
گروه SourceClear، این ضعف امنیتی را به شرکت Pivotal Software، توسعه دهنده کتابخانه Spring Social، گزارش کرده و این شرکت نیز با ارائه نسخه 1.1.3، این ضعف امنیتی را ترمیم نموده است.
با توجه به اینکه از کتابخانه Spring Social در بسیاری از سایت ها استفاده شده، این ضعف امنیتی، با شناسه CVE-2015-5258، بطور بالقوه، بسیاری از کاربران را تهدید می کند.
مکانیزم سواستفاده ساده است؛ در ابتدا نفوذگر بر روی دگمه تعبیه شده در سایتی که از نسخه آسیب پذیر Spring Social استفاده می کند کلیک می کند. با این کار، سایت، یک نشانی URL یکتای مرتبط با حساب شبکه اجتماعی مربوطه ایجاد می کند. پس از آن، نفوذگر، از طریق روش هایی همچون Phishing، باید قربانی را تشویق به کلیک بر روی لینک حاوی آن نشانی URL کند. در صورتی که کاربر به دام نفوذگر بیفتد، اطلاعات اصالت سنجی او در دست نفوذگر خواهد افتاد.
ضعف های امنیتی در کتابخانه های برنامه نویسی یکی از چالش امنیتی دهه اخیر است. تقریباً تمامی برنامه نویسان، بجای کدنویسی تمامی بخش ها، از کتابخانه های آماده به کار موجود در برنامه های خود استفاده می کنند. در نتیجه آن، در صورت وجود ضعف امنیتی در هر یک از کتابخانه های استفاده شده در برنامه، کل برنامه آسیب پذیر می شود. ارتقای کتابخانه ها نیز کار ساده ای نیست. بخصوص آنکه برنامه نویس ابتدا باید از سازگار بودن برنامه خود با نسخه جدید اطمینان حاصل کند. کاری زمانبر، که شانس موفقیت نفوذگران در سواستفاده از ضعف امنیتی را افزایش می دهد.
