Security Explorations, polska firma prowadząca zaawansowane badania z zakresu bezpieczeństwa oprogramowania i sprzętu, odkryła wiele błędów bezpieczeństwa w środowisku usługi implementującej chmurę dla języka programowania Java firmy Oracle (Oracle Java Cloud Service).
Pośród 28 zidentyfikowanych słabości, 16 błędów umożliwia całkowite przełamanie bezpieczeństwa środowiska Java w otoczeniu serwera WebLogic. W rezultacie możliwe jest m.in. uzyskanie dostępu do aplikacji Java wdrożonych przez innych użytkowników usługi Oracle Java Cloud w ramach tego samego regionalnego centrum danych. Dotyczy to tak dostępu do kodu aplikacji oraz schematu bazy danych użytkownika, jak też możliwości wykonania dowolnego programu języka Java na systemach implementujących serwisy użytkowników.
Security Explorations zweryfikowało, że złośliwy program Java wykorzystujący kombinację odkrytych błędów bezpieczeństwa może zostać pomyślnie wykonany na instancji serwera WebLogic użytkowników serwisu Oracle Java Cloud.
Specyfika błędów odkrytych w serwisie firmy Oracle wskazuje na niedostateczny proces weryfikacji bezpieczeństwa środowiska przed jego udostępnieniem szerokiej publiczności. Błędy te ilustrują znane i szeroko dyskutowane zagrożenia bezpieczeństwa języka programowania Java. Eksponują one również słabe zrozumienie modelu bezpieczeństwa i technik ataków Javy przez inżynierów firmy Oracle.
31 stycznia 2014, Security Explorations przesłało firmie Oracle raport techniczny zawierający szczegółowe informacje o odkrytych słabościach. Wraz z nim, firma otrzymała również wersje źródłowe i binarne programów testujących, które ilustrują wszystkie zidentyfikowane słabości oraz przeprowadzone ataki.
Security Explorations zdecydowało upublicznić szczegóły techniczne oraz kody ilustrujące dla błędów bezpieczeństwa odkrytych w środowisku usługi implementującej chmurę dla języka programowania Java firmy Oracle.
Dwa miesiące po otrzymaniu raportu od Security Explorations, Oracle nie przesłał informacji dot. wyeliminowania zgłoszonych błędów w swoich komercyjnych centrach danych implementujących środowisko chmury (odpowiednio US1 i EMEA1).
Firma nie przesłała również comiesięcznego raportu o stanie prac nad poprawkami do błędów za marzec 2014 (raport spodziewany około 24 dnia każdego miesiąca).
Zamiast tego, półtora roku od czasu komercyjnego udostępnienia swojego serwisu, Oracle komunikuje, że nadal pracuje nad procedurami obsługi błędów w środowisku chmury. Dodatkowo, firma otwarcie przyznaje, że nie może obiecać iż w przyszłości będzie udzielać informacji o wyeliminowaniu błędów w swoich komercyjnych centrach danych implementujących to środowisko.
Security Explorations publikuje następujące materiały w nadziei, że umożliwią one uzyskanie wartościowej perspektywy na procesy bezpieczeństwa i inżynierii firmy Oracle:
- Raport Bezpieczeństwa Oracle, Issues #1-28, plik PDF, 1087KB (pobierz)
- Raport Bezpieczeństwa Oracle, Issues #29-30, plik PDF, 210KB (pobierz)
- Kody ilustrujące i narzędzia, plik ZIP, 523KB (pobierz)
Security Explorations zachęca wszystkich klientów usługi Oracle Java Cloud Service, którzy byli jej abonentami pomiędzy Cze 2013, a Sty 2014 w komercyjnych centrach danych US1 lub EMEA1, o wykorzystanie upublicznionych materiałów jako dowodu wspierającego ewentualne reklamacje i żądania zwrotu pieniędzy od firmy Oracle z tytułu niesatysfakcjonującego poziomu bezpieczeństwa oferowanych usług.
źródło: Security Explorations
