https://blogs.oracle.com/java-platform-group/entry/incoming_filter_serialization_data_a
JDK 9向けに開発されている新機能の一つが、JEP 290:Filter Incoming Serialization Dataです。この機能がJDK 8、7、6にバックポートされました。
JEP 290: Filter Incoming Serialization Data(訳注)
http://openjdk.java.net/jeps/290
JDK 7、JDK 6はJava SEに対するサポート契約をOracleと締結されている方のみご利用いただけます。
着信シリアライズデータのフィルタリング方法として、オブジェクトのシリアル化に対する保護ならびに堅牢化のための層をもう一つ追加します。このフィルタリングメカニズムを使用することにより、開発者はアプリケーションがデシリアライズ可能なクラスを制限できます。ほとんどのセキュリティ機能と同様に、この新機能は現在のセキュア・コーディングのプラクティスを置き換えるものではなく、こうしたプラクティスに追加することを目的としています。
Secure Coding Guidelines for Java SEこの機能はJDK 9の早期アクセスリリースでご利用いただけますが、現在のバージョンの利用者にもこの機能を使ってもらいたい、ということで、2017年1月のCritical Patch Update(8u121、7u131、6u141)に対しても導入されました。
http://www.oracle.com/technetwork/java/seccodeguide-139067.html
Jan 2017 Critical Patch Update詳細は、対応するリリースのリリースノートをご覧ください。
http://www.oracle.com/technetwork/security-advisory/cpujan2017-2881727.html(英語)
http://www.oracle.com/technetwork/jp/topics/ojkbcpujan2017-3454417-ja.html(日本語)
JDK Release Notes
http://www.oracle.com/technetwork/java/javase/jdk-relnotes-index-2162236.html
0 件のコメント:
コメントを投稿