Uma popular biblioteca Java foi afetada por uma séria vulnerabilidade descoberta há mais de nove meses, mas que continua colocando milhares de aplicativos e servidores em risco de ataques de execução remota de código.

A falha está localizada em Apache Commons, uma biblioteca que contém um conjunto amplamente utilizado de componentes Java mantido pela Apache Software Foundation. Ela é usada por padrão em vários servidores de aplicativos Java e outros produtos, incluindo Oracle WebLogic, IBM WebSphere, JBoss, Jenkins e OpenNMS.

A vulnerabilidade foi relatada pela primeira vez por pesquisadores em uma conferência de segurança realizada em janeiro, mas não recebeu muita atenção, possivelmente porque muitas pessoas acreditam que a responsabilidade pela prevenção de ataques é dos desenvolvedores de aplicativos Java, e não dos criadores da biblioteca. No entanto, o problema recebeu uma nova onda de exposição na semana passada, quando pesquisadores de segurança lançaram ataques para provar a vulnerabilidade.

A Oracle divulgou um alerta na última terça-feira (10) com instruções temporárias de segurança que devem ser adotadas até que a empresa lance o patch permanente.  Os desenvolvedores do Apache Commons Collections também estão trabalhando em uma correção.

Com informações de PC World e Canaltech.