Klaffende Löcher in Oracles Java-Cloud freigelegt
Adam Gowdiak, der polnische Spezialist für Java-Sicherheit, hat 30 Lücken in Oracles Java-Cloud-Plattform veröffentlicht, da die Firma für seinen Geschmack zu langsam reagiert hat. Beigelegter Beispielcode macht baldige Angriffe wahrscheinlich.
- Fabian A. Scherschel
Der Java-Sicherheitsexperte Adam Gowdiak hat 30 Sicherheitslücken in Oracles Java Cloud Service offengelegt. Angreifer könnten die Lücken im WebLogic-Server und anderen Komponenten dazu missbrauchen, in der Cloud-Plattform laufende Anwendungen zu übernehmen. Unter anderem erlauben die Schwachstellen das Umgehen der Java-eigenen Sandbox, den Zugriff auf die Apps anderer Nutzer und das Ausführen von Schadcode.
Durch die Lücken kann ein Angreifer eine App auf dem Dienst einrichten, aus deren Sandbox ausbrechen und dann die Anwendungen und eventuell auch die dazugehörigen Datenbanken anderer Nutzer übernehmen. Für viele der Lücken hat Gowdiaks Team auch Beispielcode veröffentlicht, so dass es nicht lange dauern dürfte, bis diese für Angriffe ausgenutzt werden.
Einige der Schwachstellen betreffen ausschließlich Oracles eigene Cloud-Plattform, andere sind in Produkten enthalten, die Oracle an Kunden ausliefert und im Rahmen eines Critical Patch Updates (CPU) schließen muss. Das nächste Update dieser Art ist für den 15. April geplant. Die Lücken im Cloud Service selbst muss Oracle von seiner Seite aus stopfen.
Oracle: Regeln fĂĽr den Umgang mit Cloud-LĂĽcken noch in Arbeit
Gowdiaks Firma Security Explorations hatte die Lücken nach eigenen Angaben am 31. Januar an Oracle gemeldet. Nachdem Oracle Ende März mitteilte, man arbeite noch an Regeln für den Umgang mit Sicherheitslücken in der Cloud und könne keine genaue Zeitspanne für eine Auslieferung von Patches nennen, hatte Gowdiak sich entschieden, die Details der Lücken zu veröffentlichen.
Gowdiak wirft Oracle ebenfalls vor, beim Absichern seines Java Cloud Service schlampig gearbeitet zu haben. Man habe eine veraltete Version von Java SE benutzt, welcher ungefähr 150 Updates fehlen, die Oracle selbst seit Ende 2012 veröffentlicht habe. (fab)