Oracle milczało już za długo: polscy badacze ujawniają groźne błędy w chmurze Javy

Być może przebudowana infrastrukturabezpieczeństwa Javy 8 pozwoli Oracle wreszcie poradzić sobie zwydającą się nie mieć końca lawiną groźnych luk, ale póki cofirma Larry'ego Ellisona wciąż ma problemy w tym zakresie, zarównopod względem technicznym, jak i PR-owym. Jeśli jeszcze firmaprzyznałaby, że nie jest w stanie na czas przygotować łatek,prosząc przy tym o wyrozumiałość, a może nawet pomoc, można bybyło to jakoś znieść, jednak Oracle po prostu milczy w sprawach,które wiążą się z bezpieczeństwem kluczowych systemówinformatycznych. Niezadowoleni z postawy giganta badacze z polskiejfirmy Security Explorations uznali, że czas położyć takiejpostawie kres.

Pod koniec stycznia tego roku Adam Gowdiak i jego koledzy zgłosilido Oracle'a łącznie 30 luk w Oracle Java Cloud Service. Połowa znich pozwalała na zdalne wykonanie obcego kodu i całkowiteprzełamanie zabezpieczeń sandboksa Javy. Działały one zarówno wamerykańskim jak i europejskim centrum danych Oracle'a – polscyeksperci do zgłoszeń dołączyli odpowiednie exploity.

Jak twierdził wówczas Gowdiak, natura odkrytych podatnościdowodzić miała, że Oracle nie bardzo przyłożyło się dozabezpieczenia swojej chmury – były one pochodnymi dobrze znanychi szeroko omawianych zagrożeń związanych z Javą, dowodząc, żeprogramiści Oracle'a słabo rozumieją model bezpieczeństwa Javyi techniki ataków. Zapewne szef SecurityExplorations wiedział co mówi – jegozasługą jest odkrycie w ciągu ostatnich lat ponad pięćdziesięciuluk w Javie (i nie tylko w Javie – to on stoi za słynnym atakiemna Windows MS03-26).

Skarcone Oracle przyznało siędo wszystkich odkrytych błędów i zobowiązało dopowiadomienia o stanie prac nad ich poprawkami do 24 dnia każdegomiesiąca. 24 lutego nie było jednak żadnych wieści – dopiero 27lutego powiadomiono, że przygotowano łatki do 24 luk, a prace nadsześcioma następnymi wciąż trwają. Łatki miały byćudostępnione klientom w ramach wydań aktualizacyjnych CPU (CriticalPatch Updates).

28 lutego Security Explorationszapytało Oracle, kiedy centra danych firmy będą już odporne naprzygotowane exploity, i kiedy wydane produkty Oracle'a otrzymająodpowiednie łatki. Wówczas zapadła cisza. W marcu nieprzedstawiono żadnych nowych informacji o pracach nad łatkami, niebyło też żadnej odpowiedzi w sprawie zabezpieczeń centrówdanych.

Polska firma zdecydowała się naśmiały krok. Uznając, że nie do przyjęcia jest, by półtoraroku po komercyjnym starcie chmury wciąż nie potrafiono wdrożyćwłaściwej polityki raportowania i naprawiania podatności na ataki,Adam Gowdiak z kolegami zdecydowali się na upublicznienie wszystkichszczegółów swoich odkryć. Błędy wyglądają na naprawdępoważne – dotyczą stosowania niezaszyfrowanych haseł,współdzielonych danych logowania administratorów, możliwościobejścia białych list dostępu do API, a nawet wykorzystania jakobazy usług starych wersji Javy SE.

Badacze zachęcają klientówOracle'a do zapoznaniasię z publikacją – ma ona posłużyć im jako dowód wsprawach o zwrot opłat za usługę ze względu na niezadowalającypoziom zabezpieczeń oferowanych usług. Firma Larry'ego Ellisona niezajęła w tej sprawie jeszcze żadnego stanowiska.