Security Explorations znowu obnaża błędy bezpieczeństwa Javy

Security Explorations, polska firma prowadząca zaawansowane badania z zakresu bezpieczeństwa oprogramowania i sprzętu, odkryła wiele błędów bezpieczeństwa w implementacji maszyny wirtualnej Java będącej integralną częścią oprogramowania bazy danych firmy Oracle (Oracle Database).

Odkryte słabości pogwałcają wiele z reguł tworzenia bezpiecznego kodu w języku programowania Java. Większość z nich demonstruje dobrze znany problem związany z bezpieczeństwem środowiska Java SE. Pośród 20 zidentyfikowanych błędów znajdują się takie które umożliwiają obejście określonych mechanizmów bezpieczeństwa Java lub ułatwiające wykonanie dowolnego kodu w języku programowania Java na serwerze bazy danych Oracle bez konieczności posiadania stosownych przywilejów.

Security Explorations opracowało stabilne programy testujące w celu ilustracji wszystkich odkrytych błędów. W skład nich wchodzi 8 programów implementujących 3 różne techniki umożliwiające zwiększenie uprawnień użytkownika i zdobycie przywilejów administratora w środowisku docelowej bazy danych.

Złośliwy użytkownik z minimum uprawnień wymaganych do połączenia i zalogowania się do bazy danych Oracle (jedynie z uprawnieniami CREATE SESSION) może z powodzeniem przełamać bezpieczeństwo oprogramowania, które wg prezesa firmy Oracle "nie zostało przez nikogo złamane przez kilka ostatnich dekad" i które jest "tak bezpieczne, że są ludzie którzy na to narzekają".

Następujące wersje oprogramowania bazy danych Oracle zostały zweryfikowane jako podatne na wszystkie z 20 odkrytych błędów:

  • Oracle Database 11g Release 2 (11.2.0.1.0) dla Microsoft Windows x64
  • Oracle Database 11g Release 2 (11.2.0.4.5) Patch Bundle 18590877 dla Microsoft Windows x64
  • Oracle Database 12c Release 1 (12.1.0.1.0) dla Microsoft Windows x64
  • Oracle Database 12c Release 1 (12.1.0.1.9) Bundle Patch 18724015 dla Microsoft Windows x64

16 czerwca 2014, Security Explorations przesłało firmie Oracle raport techniczny zawierający szczegółowe informacje o odkrytych słabościach. Wraz z nim, firma otrzymała również wersje źródłowe i binarne 8 programów testujących, które ilustrują wszystkie zidentyfikowane słabości oraz techniki eksploatacji.

źródło: security-explorations.com



Learn more about our offer

If you sell security solutions, are a distributor, authorized partner or developer and would like to share your portfolio with a group of potential customers, advertise an event, software, hardware or other services on AVLab - simply write to us. Or maybe you had to deal with ransomware? We can also help you decrypt your files.
Read more

We use Google Cloud Translation and Gengo API’s to translate articles with exception of our comparative tests.