Oracle เตรียมยกเลิกการซัพพอร์ต Java Serialization เหตุมีปัญหาด้านความมั่นคงปลอดภัยบ่อย

Mark Reinhold หัวหน้าทีมสถาปัตยกรรมของกลุ่มแพลตฟอร์ม Java จาก Oracle เผย บริษัทเตรียมวางแผนที่จะยกเลิกการซัพพอร์ตการทำ Data Serialization/Deserialization บนภาษา Java เนื่องจากเป็นบ่อเกิดปัญหาด้านความมั่นคงปลอดภัย

Serialization เป็นกระบวนการนำ Data Object มาแปลงเป็นสายของ Bytes (ในรูปของ Binary) เพื่อให้สามารถส่งข้ามระบบเครือข่ายหรือบันทึกลงบนฐานข้อมูลได้ ในขณะที่ Deserialization คือกระบวนการย้อนกลับเพื่อให้มีรูปแบบดั้งเดิม ด้วยความเป็นคุณสมบัติที่สะดวกสบายนี้ ส่งผลให้หลายภาษาโปรแกรมรองรับฟีเจอร์ดังกล่าว รวมไปถึงภาษา Java

อย่างไรก็ตาม Reinhold กลับระบุว่า การเพิ่มฟีเจอร์ Serialization ลงบนภาษา Java ในปี 1997 นั้นเป็น “ความผิดพลาดที่ร้ายแรงมาก” เนื่องจากเป็นบ่อเกิดแห่งปัญหาด้านความมั่นคงปลอดภัยมาจนถึงทุกวันนี้ โดยอาจคิดเป็นสาเหตุถึง 1 ใน 3 หรือครึ่งหนึ่งเลยทีเดียว นอกจากนี้ แพตช์ด้านความมั่นคงปลอดภัยล่าสุดของ Oracle เมื่อเดือนมกราคมที่อุดช่องโหว่รวม 237 รายการ 28.5% ของช่องโหว่เหล่านั้นก็เกี่ยวข้องกับการทำ Deserialization

ด้วยเหตุนี้ทีม Java ของ Oracle จึงตัดสินใจที่จะเตรียมยกเลิกการซัพพอร์ตฟีเจอร์ดังกล่าว แต่ยังคงมีระบบ Plug-in เพื่อให้นักพัฒนาบางรายนำไปใช้ถ้าจำเป็นจริงๆ

จนถึงตอนนี้ Oracle ยังไม่กำหนดวันและเวอร์ชันของ Java ที่จะยกเลิกการรองรับ Serialization สำหรับบริษัทหรือหัวหน้าโครงการที่ไม่ต้องการให้นักพัฒนาหรือโมดูลแปลกปลอมเรียกใช้ฟังก์ชัน Serialization/Deserialization สามารถใช้ฟีเจอร์ “Serialization Filter” ที่เพิ่งเพิ่มเข้าไปในภาษา Java เมื่อปี 2016 ไปพลางๆ ก่อนได้

ที่มา: https://www.bleepingcomputer.com/news/security/oracle-plans-to-drop-java-serialization-support-the-source-of-most-security-bugs/

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

สิริซอฟต์ คว้ารางวัลระดับอาเซียน “Top Systems Integration Partner” ในงาน 2025 Elastic ASEAN Partner Awards [PR]

สิริซอฟต์ (Sirisoft) ผู้ให้คำปรึกษาและบริการโซลูชันเทคโนโลยีชั้นนำของประเทศไทยที่เชี่ยวชาญด้านการเพิ่มประสิทธิภาพโครงสร้างพื้นฐาน (Infrastructure Optimization) ความมั่นคงปลอดภัยทางไซเบอร์ (Cyber Security) และการเปลี่ยนแปลงดิจิทัล (Digital Transformation) ตอกย้ำความเป็นผู้นำด้านที่ปรึกษาไอทีที่ครบวงจรของไทย คว้ารางวัลระดับอาเซียน “Top Systems Integration Partner” ในงาน 2025 Elastic ASEAN Partner Awards

Wikipedia บอกผู้พัฒนา AI หยุด Scrape ได้แล้ว เอาข้อมูลบทความไปเลย

มูลนิธิ Wikimedia ซึ่งเป็นองค์กรที่อยู่เบื้องหลังสารานุกรมเสรีที่ใหญ่ที่สุดบนอินเทอร์เน็ตอย่าง Wikipedia ได้เสนอชุดข้อมูลที่พร้อมสำหรับปัญญาประดิษฐ์บน Kaggle โดยมีเป้าหมายเพื่อยับยั้งบริษัท AI และผู้ฝึกโมเดลภาษาขนาดใหญ่ (LLM) จากการดึงข้อมูลจากเว็บไซต์โดยอัตโนมัติ (web scraping)