dd-trace-java: आरएमआई (RMI) इंस्ट्रूमेंटेशन में असुरक्षित डिसेरियलाइजेशन (deserialization) रिमोट कोड एक्जीक्यूशन (remote code execution) का कारण बन सकता है

dd-trace-java के 1.60.3 से पहले के संस्करणों में, आरएमआई (RMI) इंस्ट्रूमेंटेशन ने एक कस्टम एंडपॉइंट (endpoint) पंजीकृत किया जिसने सीरियलाइजेशन फिल्टर (serialization filters) लागू किए बिना इनकमिंग डेटा (incoming data) को डिसेरियलाइज (deserialize) किया। JDK संस्करण 16 और उससे पहले के संस्करणों पर, एक हमलावर जो इंस्ट्रूमेंटेड जेवीएम (JVM) पर जेएमएक्स (JMX) या आरएमआई (RMI) पोर्ट तक नेटवर्क एक्सेस (network access) रखता है, संभावित रूप से रिमोट कोड एक्जीक्यूशन (remote code execution) प्राप्त करने के लिए इसका फायदा उठा सकता है। इस भेद्यता का फायदा उठाने के लिए निम्नलिखित तीनों शर्तें सही होनी चाहिए: 1. dd-trace-java जावा एजेंट (`-javaagent`) के रूप में जावा 16 या उससे पहले के संस्करण पर संलग्न है 2. एक जेएमएक्स/आरएमआई (JMX/RMI) पोर्ट को स्पष्ट रूप से `-Dcom.sun.management.jmxremote.port` के माध्यम से कॉन्फ़िगर (configure) किया गया है और यह नेटवर्क-रीचेबल (network-reachable) है 3. गैजेट-चेन-कम्पेटिबल (gadget-chain-compatible) लाइब्रेरी क्लासपाथ (classpath) पर मौजूद है ### प्रभाव इंस्ट्रूमेंटेड जेवीएम (JVM) चलाने वाले उपयोगकर्ता के विशेषाधिकारों के साथ आर्बिट्रेरी रिमोट कोड एक्जीक्यूशन (arbitrary remote code execution)। ### सिफारिश - JDK >= 17: किसी कार्रवाई की आवश्यकता नहीं है, लेकिन अपग्रेड (upgrade) करने के लिए दृढ़ता से प्रोत्साहित किया जाता है। - JDK >= 8u121 < JDK 17: dd-trace-java संस्करण 1.60.3 या बाद के संस्करण में अपग्रेड (upgrade) करें। - JDK < 8u121 और उससे पहले के संस्करणों के लिए जहां सीरियलाइजेशन फिल्टर (serialization filters) उपलब्ध नहीं हैं, नीचे वर्णित वर्कअराउंड (workaround) लागू करें। ### वर्कअराउंड आरएमआई (RMI) इंटीग्रेशन (integration) को अक्षम करने के लिए निम्नलिखित एनवायरनमेंट वेरिएबल (environment variable) सेट (set) करें: `DD_INTEGRATION_RMI_ENABLE`