r   e   k   l   a   m   a
r   e   k   l   a   m   a

Oracle milczało już za długo: polscy badacze ujawniają groźne błędy w chmurze Javy

Strona główna AktualnościOPROGRAMOWANIE

Być może przebudowana infrastruktura bezpieczeństwa Javy 8 pozwoli Oracle wreszcie poradzić sobie z wydającą się nie mieć końca lawiną groźnych luk, ale póki co firma Larry'ego Ellisona wciąż ma problemy w tym zakresie, zarówno pod względem technicznym, jak i PR-owym. Jeśli jeszcze firma przyznałaby, że nie jest w stanie na czas przygotować łatek, prosząc przy tym o wyrozumiałość, a może nawet pomoc, można by było to jakoś znieść, jednak Oracle po prostu milczy w sprawach, które wiążą się z bezpieczeństwem kluczowych systemów informatycznych. Niezadowoleni z postawy giganta badacze z polskiej firmy Security Explorations uznali, że czas położyć takiej postawie kres.

Pod koniec stycznia tego roku Adam Gowdiak i jego koledzy zgłosili do Oracle'a łącznie 30 luk w Oracle Java Cloud Service. Połowa z nich pozwalała na zdalne wykonanie obcego kodu i całkowite przełamanie zabezpieczeń sandboksa Javy. Działały one zarówno w amerykańskim jak i europejskim centrum danych Oracle'a – polscy eksperci do zgłoszeń dołączyli odpowiednie exploity.

Jak twierdził wówczas Gowdiak, natura odkrytych podatności dowodzić miała, że Oracle nie bardzo przyłożyło się do zabezpieczenia swojej chmury – były one pochodnymi dobrze znanych i szeroko omawianych zagrożeń związanych z Javą, dowodząc, że programiści Oracle'a słabo rozumieją model bezpieczeństwa Javy i techniki ataków. Zapewne szef Security Explorations wiedział co mówi – jego zasługą jest odkrycie w ciągu ostatnich lat ponad pięćdziesięciu luk w Javie (i nie tylko w Javie – to on stoi za słynnym atakiem na Windows MS03-26).

r   e   k   l   a   m   a

Skarcone Oracle przyznało się do wszystkich odkrytych błędów i zobowiązało do powiadomienia o stanie prac nad ich poprawkami do 24 dnia każdego miesiąca. 24 lutego nie było jednak żadnych wieści – dopiero 27 lutego powiadomiono, że przygotowano łatki do 24 luk, a prace nad sześcioma następnymi wciąż trwają. Łatki miały być udostępnione klientom w ramach wydań aktualizacyjnych CPU (Critical Patch Updates).

28 lutego Security Explorations zapytało Oracle, kiedy centra danych firmy będą już odporne na przygotowane exploity, i kiedy wydane produkty Oracle'a otrzymają odpowiednie łatki. Wówczas zapadła cisza. W marcu nie przedstawiono żadnych nowych informacji o pracach nad łatkami, nie było też żadnej odpowiedzi w sprawie zabezpieczeń centrów danych.

Polska firma zdecydowała się na śmiały krok. Uznając, że nie do przyjęcia jest, by półtora roku po komercyjnym starcie chmury wciąż nie potrafiono wdrożyć właściwej polityki raportowania i naprawiania podatności na ataki, Adam Gowdiak z kolegami zdecydowali się na upublicznienie wszystkich szczegółów swoich odkryć. Błędy wyglądają na naprawdę poważne – dotyczą stosowania niezaszyfrowanych haseł, współdzielonych danych logowania administratorów, możliwości obejścia białych list dostępu do API, a nawet wykorzystania jako bazy usług starych wersji Javy SE.

Badacze zachęcają klientów Oracle'a do zapoznania się z publikacją – ma ona posłużyć im jako dowód w sprawach o zwrot opłat za usługę ze względu na niezadowalający poziom zabezpieczeń oferowanych usług. Firma Larry'ego Ellisona nie zajęła w tej sprawie jeszcze żadnego stanowiska.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.