В рамках инициативы Operation Rosehub команда из 50 сотрудников Google устранила критическую уязвимость в тысячах опубликованных на GitHub проектов с открытым исходным кодом, использующих популярную Java-библиотеку Apache Commons Collections (ACC).
Уязвимость (CVE-2015-6420), окрещенная Mad Gadget, содержится в компоненте Collections библиотеки Apache Commons, включающей широко применяемые элементы Java, поддержку которых осуществляет Apache Software Foundation. Проэксплуатировав уязвимость, неавторизованный атакующий может удаленно выполнить произвольный код на целевой системе.
Ярким примером эксплуатации уязвимости может служить прошлогодняя кибератака на компьютерную систему агентства общественного транспорта Сан-Франциско, в результате которой порядка 2 тыс. компьютеров организации оказались инфицированы вымогательским ПО.
После обнародования данных об уязвимости Mad Gadget крупные компании, включая Oracle, Cisco, Red Hat, VMWare, IBM, Intel, Adobe, HP, Jenkins и SolarWinds заявили, что уже исправили эту проблему в своих программных продуктах. Однако спустя несколько месяцев один из сотрудников Google заметил, что огромное количество открытых проектов продолжает использовать уязвимые версии ACC библиотеки.
«Мы поняли, что лучшие практики индустрии не сработали. Нужно было принять меры для защиты сообщества open source. Поэтому вместо того, чтобы публиковать предупреждение с обращением к разработчикам исправить уязвимость, мы решили сформировать команду и обновить код вместо них», — написала программный инженер Джастин Танни (Justine Tunney) в блоге компании.
Источник: securitylab.ru
