Breaking News

Oracle เตรียมยกเลิกการซัพพอร์ต Java Serialization เหตุมีปัญหาด้านความมั่นคงปลอดภัยบ่อย

Mark Reinhold หัวหน้าทีมสถาปัตยกรรมของกลุ่มแพลตฟอร์ม Java จาก Oracle เผย บริษัทเตรียมวางแผนที่จะยกเลิกการซัพพอร์ตการทำ Data Serialization/Deserialization บนภาษา Java เนื่องจากเป็นบ่อเกิดปัญหาด้านความมั่นคงปลอดภัย

Serialization เป็นกระบวนการนำ Data Object มาแปลงเป็นสายของ Bytes (ในรูปของ Binary) เพื่อให้สามารถส่งข้ามระบบเครือข่ายหรือบันทึกลงบนฐานข้อมูลได้ ในขณะที่ Deserialization คือกระบวนการย้อนกลับเพื่อให้มีรูปแบบดั้งเดิม ด้วยความเป็นคุณสมบัติที่สะดวกสบายนี้ ส่งผลให้หลายภาษาโปรแกรมรองรับฟีเจอร์ดังกล่าว รวมไปถึงภาษา Java

อย่างไรก็ตาม Reinhold กลับระบุว่า การเพิ่มฟีเจอร์ Serialization ลงบนภาษา Java ในปี 1997 นั้นเป็น “ความผิดพลาดที่ร้ายแรงมาก” เนื่องจากเป็นบ่อเกิดแห่งปัญหาด้านความมั่นคงปลอดภัยมาจนถึงทุกวันนี้ โดยอาจคิดเป็นสาเหตุถึง 1 ใน 3 หรือครึ่งหนึ่งเลยทีเดียว นอกจากนี้ แพตช์ด้านความมั่นคงปลอดภัยล่าสุดของ Oracle เมื่อเดือนมกราคมที่อุดช่องโหว่รวม 237 รายการ 28.5% ของช่องโหว่เหล่านั้นก็เกี่ยวข้องกับการทำ Deserialization

ด้วยเหตุนี้ทีม Java ของ Oracle จึงตัดสินใจที่จะเตรียมยกเลิกการซัพพอร์ตฟีเจอร์ดังกล่าว แต่ยังคงมีระบบ Plug-in เพื่อให้นักพัฒนาบางรายนำไปใช้ถ้าจำเป็นจริงๆ

จนถึงตอนนี้ Oracle ยังไม่กำหนดวันและเวอร์ชันของ Java ที่จะยกเลิกการรองรับ Serialization สำหรับบริษัทหรือหัวหน้าโครงการที่ไม่ต้องการให้นักพัฒนาหรือโมดูลแปลกปลอมเรียกใช้ฟังก์ชัน Serialization/Deserialization สามารถใช้ฟีเจอร์ “Serialization Filter” ที่เพิ่งเพิ่มเข้าไปในภาษา Java เมื่อปี 2016 ไปพลางๆ ก่อนได้

ที่มา: https://www.bleepingcomputer.com/news/security/oracle-plans-to-drop-java-serialization-support-the-source-of-most-security-bugs/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

สรุปงานสัมมนา Age of Data Privacy, Trust & Security โดย Bay Computing

Bay Computing ผู้ให้บริการและที่ปรึกษาด้านระบบความมั่นคงปลอดภัยไซเบอร์ชื่อดัง จัดงานสัมมนา Bay Cybersecurity Day 2019 ภายใต้ธีม Age of Data Privacy, Trust & …

VMUG Webinar: พบกับคุณสมบัติใหม่ใน และประสิทธิภาพการตอบสนองที่เร็วขึ้นใน vSAN 6.7 Update 3 โดย VMware

VMware User Group Thailand ขอเรียนเชิญผู้บริหารฝ่าย IT, ผู้จัดการ IT, Cloud Engineer, System Engineer และผู้ดูแลระบบ IT เข้าร่วมฟัง Webinar ในหัวข้อเรื่อง "พบกับคุณสมบัติใหม่ใน และประสิทธิภาพการตอบสนองที่เร็วขึ้นใน vSAN 6.7 Update 3 โดย VMware" เพื่อทำความรู้จักกับความสามารถใหม่ๆ บน VMware vSAN 6.7 Update 3 ที่เป็นหัวใจของระบบ Hyper-Converged Infrastructure หรือ HCI ซึ่งสามารถทำงานร่วมกับ Kubernetes ได้แล้วแบบเจาะลึกกันโดยทีมงาน VMware โดยตรง ในวันจันทร์ที่ 23 กันยายน 2019 เวลา 14.00 – 15.30 น. โดยมีกำหนดการและวิธีการลงทะเบียนดังนี้