شماره: IRCNE2014042144
تاريخ:14/01/93
محققان امنيتي جزئيات فني و كدهاي اثبات كننده براي 30 مساله امنيتي كه خدمات ابر جاوا اوراكل را تحت تاثير قرار مي دهد منتشر كردند. برخي از اين مسائل مي توانند به مهاجمان اجازه دهند كه برنامه هاي كاربردي جاوا را مورد سوء استفاده قرار دهند.
محققان امنيتي لهستاني كه بسياري از آسيب پذيري هاي جاوا را در گذشته كشف كرده بودند تصميم گرفتند تا اين مسائل را به طور عمومي افشاء نمايند.
خدمات ابر جاوا اوراكل به مشتريان اجازه مي دهد تا برنامه هاي كاربردي جاوا را بر روي سرور كلاسترهاي WebLogic در مركز داده اوراكل اجرا نمايند. اين خدمات امنيت بالا، دسترسي پذيري بالا و عملكرد خوب براي برنامه هاي كاربردي حياتي كسب و كارها را فراهم مي كند.
مسائل گزارش شده در جدول زمان بندي اوراكل براي اصلاح عبارتند از: دور زدن sandbox امنيتي جاوا، دور زدن قوانين فهرست سفيد API جاوا، استفاده از رمزهاي عبور اشتراكي ادمين سرور WebLogic ، دسترسي به رمزهاي عبور كاربران به صورت متن ساده در Policy Store، استفاده از نرم افزارهاي جاوا SE به روز رساني نشده بر روي خدماتي كه فاقد 150 رفع امنيتي بوده است و مسائلي كه منجر به حملات اجراي كد از راه دور عليه سرور WebLogic مي شود.
محققان امنيتي اظهار داشتند كه راهي را يافته اند كه توسط آن يك كاربر خدمات ابر جاوا اوراكل مي تواند به برنامه هاي كاربردي و داده هاي كاربر ديگر اين خدمات در يك مركز داده منطقه اي دسترسي يابد. منظور از دسترسي امكان خواندن و نوشتن داده ها است و هم چنين امكان اجراي كد جاواي دلخواه بر روي سرور WebLogic هدف مي باشد. تمامي اين دسترسي ها با افزايش حق دسترسي ادمين صورت مي گيرد.
شركت اوراكل تمامي 30 آسيب پذيري را در 12 فوريه تاييد كرده است اما هم چنان اصلاحيه اي براي آن ها منتشر نكرده است.
- 6