Błędy bezpieczeństwa w usłudze Oracle Java Cloud Service

12 kwietnia, 2014

Security Explorations, polska firma prowadząca zaawansowane badania z zakresu bezpieczeństwa oprogramowania i sprzętu, odkryła wiele błędów bezpieczeństwa w środowisku usługi implementującej chmurę dla języka programowania Java firmy Oracle (Oracle Java Cloud Service).

Pośród 28 zidentyfikowanych słabości, 16 błędów umożliwia całkowite przełamanie bezpieczeństwa środowiska Java w otoczeniu serwera WebLogic. W rezultacie możliwe jest m.in. uzyskanie dostępu do aplikacji Java wdrożonych przez innych użytkowników usługi Oracle Java Cloud w ramach tego samego regionalnego centrum danych. Dotyczy to tak dostępu do kodu aplikacji oraz schematu bazy danych użytkownika, jak też możliwości wykonania dowolnego programu języka Java na systemach implementujących serwisy użytkowników.

Security Explorations zweryfikowało, że złośliwy program Java wykorzystujący kombinację odkrytych błędów bezpieczeństwa może zostać pomyślnie wykonany na instancji serwera WebLogic użytkowników serwisu Oracle Java Cloud.

oracle cloud

Specyfika błędów odkrytych w serwisie firmy Oracle wskazuje na niedostateczny proces weryfikacji bezpieczeństwa środowiska przed jego udostępnieniem szerokiej publiczności. Błędy te ilustrują znane i szeroko dyskutowane zagrożenia bezpieczeństwa języka programowania Java. Eksponują one również słabe zrozumienie modelu bezpieczeństwa i technik ataków Javy przez inżynierów firmy Oracle.

31 stycznia 2014, Security Explorations przesłało firmie Oracle raport techniczny zawierający szczegółowe informacje o odkrytych słabościach. Wraz z nim, firma otrzymała również wersje źródłowe i binarne programów testujących, które ilustrują wszystkie zidentyfikowane słabości oraz przeprowadzone ataki.

Security Explorations zdecydowało upublicznić szczegóły techniczne oraz kody ilustrujące dla błędów bezpieczeństwa odkrytych w środowisku usługi implementującej chmurę dla języka programowania Java firmy Oracle.

Dwa miesiące po otrzymaniu raportu od Security Explorations, Oracle nie przesłał informacji dot. wyeliminowania zgłoszonych błędów w swoich komercyjnych centrach danych implementujących środowisko chmury (odpowiednio US1 i EMEA1).

Firma nie przesłała również comiesięcznego raportu o stanie prac nad poprawkami do błędów za marzec 2014 (raport spodziewany około 24 dnia każdego miesiąca).

Zamiast tego, półtora roku od czasu komercyjnego udostępnienia swojego serwisu, Oracle komunikuje, że nadal pracuje nad procedurami obsługi błędów w środowisku chmury. Dodatkowo, firma otwarcie przyznaje, że nie może obiecać iż w przyszłości będzie udzielać informacji o wyeliminowaniu błędów w swoich komercyjnych centrach danych implementujących to środowisko.

Security Explorations publikuje następujące materiały w nadziei, że umożliwią one uzyskanie wartościowej perspektywy na procesy bezpieczeństwa i inżynierii firmy Oracle:

  • Raport Bezpieczeństwa Oracle, Issues #1-28, plik PDF, 1087KB (pobierz)
  • Raport Bezpieczeństwa Oracle, Issues #29-30, plik PDF, 210KB (pobierz)
  • Kody ilustrujące i narzędzia, plik ZIP, 523KB (pobierz)

Security Explorations zachęca wszystkich klientów usługi Oracle Java Cloud Service, którzy byli jej abonentami pomiędzy Cze 2013, a Sty 2014 w komercyjnych centrach danych US1 lub EMEA1, o wykorzystanie upublicznionych materiałów jako dowodu wspierającego ewentualne reklamacje i żądania zwrotu pieniędzy od firmy Oracle z tytułu niesatysfakcjonującego poziomu bezpieczeństwa oferowanych usług.

źródło: Security Explorations

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]