論文の概要: Sleeping Giants -- Activating Dormant Java Deserialization Gadget Chains through Stealthy Code Changes

• arxiv url: http://arxiv.org/abs/2504.20485v1
• Date: Tue, 29 Apr 2025 07:24:34 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-05-02 19:15:54.786061
• Title: Sleeping Giants -- Activating Dormant Java Deserialization Gadget Chains through Stealthy Code Changes
• Title（参考訳）: 眠るジャイアンツ - 安定したコード変更を通じて、休眠中のJavaデシリアライズガジェットのチェーンを活性化する
• Authors: Bruno Kreyssig, Sabine Houy, Timothée Riom, Alexandre Bartel,
• Abstract要約: Javaデシリアライズガジェットチェーンは、よく研究されている重要なソフトウェア弱点です。 依存関係の小さなコード変更により、ガジェットチェーンが可能になった。 この研究は、Javaデシリアライズガジェットチェーンがソフトウェアに幅広い責任があることを示し、サプライチェーン攻撃ベクタとして休息ガジェットチェーンを証明している。
• 参考スコア（独自算出の注目度）: 42.95491588006701
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: Java deserialization gadget chains are a well-researched critical software weakness. The vast majority of known gadget chains rely on gadgets from software dependencies. Furthermore, it has been shown that small code changes in dependencies have enabled these gadget chains. This makes gadget chain detection a purely reactive endeavor. Even if one dependency's deployment pipeline employs gadget chain detection, a gadget chain can still result from gadgets in other dependencies. In this work, we assess how likely small code changes are to enable a gadget chain. These changes could either be accidental or intentional as part of a supply chain attack. Specifically, we show that class serializability is a strongly fluctuating property over a dependency's evolution. Then, we investigate three change patterns by which an attacker could stealthily introduce gadgets into a dependency. We apply these patterns to 533 dependencies and run three state-of-the-art gadget chain detectors both on the original and the modified dependencies. The tools detect that applying the modification patterns can activate/inject gadget chains in 26.08% of the dependencies we selected. Finally, we verify the newly detected chains. As such, we identify dormant gadget chains in 53 dependencies that could be added through minor code modifications. This both shows that Java deserialization gadget chains are a broad liability to software and proves dormant gadget chains as a lucrative supply chain attack vector.
• Abstract（参考訳）: Javaデシリアライズガジェットチェーンは、よく研究されている重要なソフトウェア弱点です。 既知のガジェットチェーンの大半は、ソフトウェア依存のガジェットに依存している。 さらに、依存関係の小さなコード変更によって、ガジェットチェーンが有効になったことが示されている。 これにより、ガジェットチェーン検出は、純粋に反応性のある取り組みとなる。 ある依存関係のデプロイメントパイプラインがガジェットチェーン検出を採用したとしても、ガジェットチェーンは他の依存関係にあるガジェットによってもたらされる可能性がある。 本研究では,ガジェットチェーンを実現するための小さなコード変更の可能性を評価する。 これらの変更は、サプライチェーン攻撃の一部として、偶発的または意図的に行われる可能性がある。 具体的には、クラスシリアライザビリティは依存関係の進化に対する強い変動特性であることを示す。 そこで,攻撃者がガジェットをこっそり依存に導入できる3つの変化パターンについて検討した。 これらのパターンを553の依存関係に適用し、3つの最先端ガジェットチェーン検出器を元の依存関係と修正された依存関係の両方で動作させる。 これらのツールは、私たちが選択した依存関係の26.08%でガジェットチェーンを活性化/注入できることを検出する。 最後に,新たに検出された鎖を検証した。 そのため、53の依存関係で、小さなコード修正によって追加できる休眠ガジェットチェーンを識別する。 これはどちらも、Javaデシリアライズガジェットチェーンがソフトウェアに幅広い責任があることを示し、サプライチェーン攻撃ベクタとして休息ガジェットチェーンを証明している。

関連論文リスト

• Rethinking Reuse in Dependency Supply Chains: Initial Analysis of NPM packages at the End of the Chain [2.4969046521751768]
  本稿では,サードパーティパッケージへの依存を最小限に抑えるためのソフトウェア開発プラクティスの転換を提唱する。 これらのエンドツーエンドパッケージは、エコシステムにおいて重要な役割を担っているため、ユニークな洞察を提供する。
  論文  参考訳（メタデータ） (2025-03-04T17:26:34Z)
• Deserialization Gadget Chains are not a Pathological Problem in Android:an In-Depth Study of Java Gadget Chains in AOSP [40.53819791643813]
  JavaのSerializable APIには、デシリアライズ脆弱性、特にデシリアライズガジェットチェーンの長い歴史がある。 音質と効率性に最適化されたガジェットチェーン検出ツールを設計する。 ツールをAndroid SDK上で実行し、1200のAndroid依存物と包括的なシンクデータセットを組み合わせることで、セキュリティクリティカルなガジェットチェーンが得られません。
  論文  参考訳（メタデータ） (2025-02-12T14:39:30Z)
• Pinning Is Futile: You Need More Than Local Dependency Versioning to Defend against Supply Chain Attacks [23.756533975349985]
  オープンソースソフトウェアにおける最近の顕著なインシデントは、ソフトウェアサプライチェーンの攻撃に実践者の注意を向けている。 セキュリティ実践者は、バージョン範囲に浮かぶのではなく、特定のバージョンへの依存性をピン留めすることを推奨する。 我々は,npmエコシステムにおけるバージョン制約のセキュリティとメンテナンスへの影響を,カウンターファクト分析とシミュレーションを通じて定量化する。
  論文  参考訳（メタデータ） (2025-02-10T16:50:48Z)
• Dirty-Waters: Detecting Software Supply Chain Smells [10.405775369526006]
  ソフトウェアサプライチェーン臭の新しい概念と,ソフトウェアサプライチェーン臭を検出する新しいツールであるDirty-Watersを定義した。 9つのバージョンにわたる3つのJavaScriptプロジェクトでDirty-Watersを評価し、提案されたソフトウェアサプライチェーンの匂いの頻度を実証した。
  論文  参考訳（メタデータ） (2024-10-21T14:24:12Z)
• GoSurf: Identifying Software Supply Chain Attack Vectors in Go [9.91891839872381]
  本稿では,Go言語に適した12個の異なる攻撃ベクトルの分類法とそのパッケージライフサイクルを提案する。 私たちの研究は、Goエコシステム内のオープンソースのソフトウェアサプライチェーンを確保するための予備的な洞察を提供します。
  論文  参考訳（メタデータ） (2024-07-05T11:52:27Z)
• Model Supply Chain Poisoning: Backdooring Pre-trained Models via Embedding Indistinguishability [61.549465258257115]
  そこで我々は,PTMに埋め込まれたバックドアをモデルサプライチェーンに効率的に移動させる,新しい,より厳しいバックドア攻撃であるTransTrojを提案する。 実験の結果,本手法はSOTAタスク非依存のバックドア攻撃より有意に優れていた。
  論文  参考訳（メタデータ） (2024-01-29T04:35:48Z)
• On the Security Blind Spots of Software Composition Analysis [46.1389163921338]
  Mavenリポジトリで脆弱性のあるクローンを検出するための新しいアプローチを提案する。 Maven Centralから53万以上の潜在的な脆弱性のあるクローンを検索します。 検出された727個の脆弱なクローンを検出し、それぞれに検証可能な脆弱性証明プロジェクトを合成する。
  論文  参考訳（メタデータ） (2023-06-08T20:14:46Z)
• Visual Dependency Transformers: Dependency Tree Emerges from Reversed Attention [106.67741967871969]
  ラベルなしで視覚的依存関係を誘導できる視覚依存変換器(DependencyViT)を提案する。 我々は、子トークンが親トークンに出席し、情報を送信するように訓練された依存グラフとしてこれを定式化する。 DependencyViTは、ImageNet上の自己と弱い教師付き事前トレーニングパラダイムの両方でうまく機能する。
  論文  参考訳（メタデータ） (2023-04-06T17:59:26Z)
• Will bots take over the supply chain? Revisiting Agent-based supply chain automation [71.77396882936951]
  エージェントベースのサプライチェーンは2000年初頭から提案されている。 エージェントベースの技術は成熟しており、サプライチェーンに浸透している他の支援技術はギャップを埋めている。 例えば、IoTテクノロジのユビキティは、エージェントがサプライチェーンの状態を“理解”し、自動化のための新たな可能性を開くのに役立つ。
  論文  参考訳（メタデータ） (2021-09-03T18:44:26Z)
• Controlled quantum state transfer in $XX$ spin chains at the Quantum Speed Limit [62.997667081978825]
  等質鎖では、鎖の1つの極端からもう1つの極端への情報を取り込むには、O(N/2)$を要し、N$は鎖長である。 我々は、N/2$以上の順序で、チェーンの極端間のほぼ完全な人口移動を実現する制御パルスを設計する。
  論文  参考訳（メタデータ） (2020-05-15T23:10:19Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。