Oracle เตรียมยกเลิกการซัพพอร์ต Java Serialization เหตุมีปัญหาด้านความมั่นคงปลอดภัยบ่อย

Mark Reinhold หัวหน้าทีมสถาปัตยกรรมของกลุ่มแพลตฟอร์ม Java จาก Oracle เผย บริษัทเตรียมวางแผนที่จะยกเลิกการซัพพอร์ตการทำ Data Serialization/Deserialization บนภาษา Java เนื่องจากเป็นบ่อเกิดปัญหาด้านความมั่นคงปลอดภัย

Serialization เป็นกระบวนการนำ Data Object มาแปลงเป็นสายของ Bytes (ในรูปของ Binary) เพื่อให้สามารถส่งข้ามระบบเครือข่ายหรือบันทึกลงบนฐานข้อมูลได้ ในขณะที่ Deserialization คือกระบวนการย้อนกลับเพื่อให้มีรูปแบบดั้งเดิม ด้วยความเป็นคุณสมบัติที่สะดวกสบายนี้ ส่งผลให้หลายภาษาโปรแกรมรองรับฟีเจอร์ดังกล่าว รวมไปถึงภาษา Java

อย่างไรก็ตาม Reinhold กลับระบุว่า การเพิ่มฟีเจอร์ Serialization ลงบนภาษา Java ในปี 1997 นั้นเป็น “ความผิดพลาดที่ร้ายแรงมาก” เนื่องจากเป็นบ่อเกิดแห่งปัญหาด้านความมั่นคงปลอดภัยมาจนถึงทุกวันนี้ โดยอาจคิดเป็นสาเหตุถึง 1 ใน 3 หรือครึ่งหนึ่งเลยทีเดียว นอกจากนี้ แพตช์ด้านความมั่นคงปลอดภัยล่าสุดของ Oracle เมื่อเดือนมกราคมที่อุดช่องโหว่รวม 237 รายการ 28.5% ของช่องโหว่เหล่านั้นก็เกี่ยวข้องกับการทำ Deserialization

ด้วยเหตุนี้ทีม Java ของ Oracle จึงตัดสินใจที่จะเตรียมยกเลิกการซัพพอร์ตฟีเจอร์ดังกล่าว แต่ยังคงมีระบบ Plug-in เพื่อให้นักพัฒนาบางรายนำไปใช้ถ้าจำเป็นจริงๆ

จนถึงตอนนี้ Oracle ยังไม่กำหนดวันและเวอร์ชันของ Java ที่จะยกเลิกการรองรับ Serialization สำหรับบริษัทหรือหัวหน้าโครงการที่ไม่ต้องการให้นักพัฒนาหรือโมดูลแปลกปลอมเรียกใช้ฟังก์ชัน Serialization/Deserialization สามารถใช้ฟีเจอร์ “Serialization Filter” ที่เพิ่งเพิ่มเข้าไปในภาษา Java เมื่อปี 2016 ไปพลางๆ ก่อนได้

ที่มา: https://www.bleepingcomputer.com/news/security/oracle-plans-to-drop-java-serialization-support-the-source-of-most-security-bugs/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

พบช่องโหว่บน macOS ทำให้ bypass SIP ได้

พบช่องโหว่บน macOS ทำให้ผู้โจมตีสามารถ bypass ระบบ System Integrity Protection (SIP) ได้

NVIDIA มีมูลค่าบริษัทแตะ 1 ล้านล้านเหรียญแล้ว

NVIDIA มีมูลค่าบริษัทแตะ 1 ล้านล้านเหรียญเป็นที่เรียบร้อยแล้ว จากการเติบโตของ AI