ایتنا- محققان امنیتی جزئیات فنی و كدهای اثبات كننده برای 30 مساله امنیتی كه خدمات ابر جاوا اوراكل را تحت تاثیر قرار می دهد منتشر كردند. برخی از این مسائل می توانند به مهاجمان اجازه دهند كه برنامه های كاربردی جاوا را مورد سوء استفاده قرار دهند.
شنبه ۱۶ فروردين ۱۳۹۳ ساعت ۱۰:۳۴
افشای عمومی آسیب پذیری های خدمات ابر جاوا اوراكل
محققان امنیتی جزئیات فنی و كدهای اثبات كننده برای ۳۰ مسئله امنیتی كه خدمات ابر جاوا اوراكل را تحت تاثیر قرار می دهد منتشر كردند.
برخی از این مسائل می توانند به مهاجمان اجازه دهند كه برنامه های كاربردی جاوا را مورد سوء استفاده قرار دهند.
به گزارش ایتنا از مرکز ماهر، محققان امنیتی لهستانی كه بسیاری از آسیب پذیری های جاوا را در گذشته كشف كرده بودند تصمیم گرفتند تا این مسائل را به طور عمومی افشاء نمایند.
خدمات ابر جاوا اوراكل به مشتریان اجازه می دهد تا برنامه های كاربردی جاوا را بر روی سرور كلاسترهای WebLogic در مركز داده اوراكل اجرا نمایند.
این خدمات امنیت بالا، دسترسی پذیری بالا و عملكرد خوب برای برنامه های كاربردی حیاتی كسب و كارها را فراهم می كند.
مسائل گزارش شده در جدول زمان بندی اوراكل برای اصلاح عبارتند از: دور زدن sandbox امنیتی جاوا، دور زدن قوانین فهرست سفید API جاوا، استفاده از رمزهای عبور اشتراكی ادمین سرور WebLogic ، دسترسی به رمزهای عبور كاربران به صورت متن ساده در Policy Store، استفاده از نرم افزارهای جاوا SE به روز رسانی نشده بر روی خدماتی كه فاقد ۱۵۰ رفع امنیتی بوده است و مسائلی كه منجر به حملات اجرای كد از راه دور علیه سرور WebLogic می شود.
محققان امنیتی اظهار داشتند كه راهی را یافته اند كه توسط آن یك كاربر خدمات ابر جاوا اوراكل می تواند به برنامه های كاربردی و داده های كاربر دیگر این خدمات در یك مركز داده منطقه ای دسترسی یابد.
منظور از دسترسی امكان خواندن و نوشتن داده ها است و هم چنین امكان اجرای كد جاوای دلخواه بر روی سرور WebLogic هدف می باشد. تمامی این دسترسی ها با افزایش حق دسترسی ادمین صورت می گیرد.
شركت اوراكل تمامی ۳۰ آسیب پذیری را در ۱۲ فوریه تایید كرده است اما هم چنان اصلاحیه ای برای آن ها منتشر نكرده است.
کد مطلب: 30001
