dd-trace-java: Onveilige deserialisatie in RMI-instrumentatie kan leiden tot uitvoering van code op afstand

In versies van dd-trace-java ouder dan 1.60.3 registreerde de RMI-instrumentatie een aangepast eindpunt dat inkomende gegevens deserialiseerde zonder serialisatiefilters toe te passen. Op JDK versie 16 en eerder kon een aanvaller met netwerktoegang tot een JMX- of RMI-poort op een geïnstrumenteerde JVM dit misbruiken om mogelijk uitvoering van code op afstand te bereiken. Aan alle drie de volgende voorwaarden moet worden voldaan om dit beveiligingslek te misbruiken: 1. dd-trace-java is gekoppeld als een Java-agent (`-javaagent`) op Java 16 of eerder 2. Een JMX/RMI-poort is expliciet geconfigureerd via `-Dcom.sun.management.jmxremote.port` en is bereikbaar via het netwerk 3. Een gadget-chain-compatibele bibliotheek is aanwezig op het classpath ### Impact Willekeurige uitvoering van code op afstand met de privileges van de gebruiker die de geïnstrumenteerde JVM uitvoert. ### Aanbeveling - Voor JDK >= 17: Er is geen actie vereist, maar upgraden wordt sterk aangeraden. - Voor JDK >= 8u121 < JDK 17: Upgrade naar dd-trace-java versie 1.60.3 of later. - Voor JDK < 8u121 en eerder waar serialisatiefilters niet beschikbaar zijn, past u de hieronder beschreven workaround toe. ### Workarounds Stel de volgende omgevingsvariabele in om de RMI-integratie uit te schakelen: `DD_INTEGRATION_RMI_ENABLE`