English

SE-2013-01 Biuletyn prasowy

31 Stycznia 2014, Poznań, Polska

Security Explorations, polska firma prowadząca zaawansowane badania z zakresu bezpieczeństwa oprogramowania i sprzętu, odkryła wiele błędów bezpieczeństwa w środowisku usługi implementującej chmurę dla języka programowania Java firmy Oracle [1] (Oracle Java Cloud Service [2]).

Pośród 28 zidentyfikowanych słabości, 16 błędów umożliwia całkowite przełamanie bezpieczeństwa środowiska Java w otoczeniu serwera WebLogic. W rezultacie możliwe jest m.in. uzyskanie dostępu do aplikacji Java wdrożonych przez innych użytkowników usługi Oracle Java Cloud w ramach tego samego regionalnego centrum danych. Dotyczy to tak dostępu do kodu aplikacji oraz schematu bazy danych użytkownika, jak też możliwości wykonania dowolnego programu języka Java na systemach implementujących serwisy użytkowników. Security Explorations zweryfikowało, że złośliwy program Java wykorzystujący kombinację odkrytych błędów bezpieczeństwa może zostać pomyślnie wykonany na instancji serwera WebLogic użytkowników serwisu Oracle Java Cloud.

Specyfika błędów odkrytych w serwisie firmy Oracle wskazuje na niedostateczny proces weryfikacji bezpieczeństwa środowiska przed jego udostępnieniem szerokiej publiczności. Błędy te ilustrują znane i szeroko dyskutowane zagrożenia bezpieczeństwa języka programowania Java [3]. Eksponują one również słabe zrozumienie modelu bezpieczeństwa i technik ataków Javy przez inżynierów firmy Oracle.

31 stycznia 2014, Security Explorations przesłało firmie Oracle raport techniczny zawierający szczegółowe informacje o odkrytych słabościach. Wraz z nim, firma otrzymała również wersje źródłowe i binarne programów testujących, które ilustrują wszystkie zidentyfikowane słabości oraz przeprowadzone ataki.

Referencje:

  1. [1] Oracle Corporation (http://www.oracle.com)
  2. [2] Oracle Java Cloud Service (https://cloud.oracle.com/mycloud/f?p=service:java:0)
  3. [3] SE-2012-01 Project, Security Vulnerabilities in Java SE
    (http://www.security-explorations.com/en/SE-2012-01.html)


Copyright 2008-2017 Security Explorations. All Rights Reserved.