محققان امنیتی جزئیات فنی و کدهای اثبات کننده برای ۳۰ مساله امنیتی
که خدمات ابر جاوا اوراکل را تحت تاثیر قرار می دهد منتشر کردند. برخی از
این مسائل می توانند به مهاجمان اجازه دهند که برنامه های کاربردی جاوا را
مورد سواستفاده قرار دهند.
به گزارش سافتگذر به نقل از فن آوری اطلاعات ایران، محققان امنیتی لهستانی که بسیاری از آسیب پذیری های جاوا را در
گذشته کشف کرده بودند تصمیم گرفتند تا این مسائل را به طور عمومی افشاء
نمایند.
خدمات ابر جاوا اوراکل به مشتریان اجازه می دهد تا برنامه های کاربردی
جاوا را بر روی سرور کلاسترهای WebLogic در مرکز داده اوراکل اجرا نمایند.
این خدمات امنیت بالا، دسترسی پذیری بالا و عملکرد خوب برای برنامه های
کاربردی حیاتی کسب و کارها را فراهم می کند.
مسائل گزارش شده در جدول زمان بندی اوراکل برای اصلاح عبارتند از: دور
زدن sandbox امنیتی جاوا، دور زدن قوانین فهرست سفید API جاوا، استفاده از
رمزهای عبور اشتراکی ادمین سرور WebLogic ، دسترسی به رمزهای عبور کاربران
به صورت متن ساده در Policy Store، استفاده از نرم افزارهای جاوا SE به روز
رسانی نشده بر روی خدماتی که فاقد ۱۵۰ رفع امنیتی بوده است و مسائلی که
منجر به حملات اجرای کد از راه دور علیه سرور WebLogic می شود.
محققان امنیتی اظهار داشتند که راهی را یافته اند که توسط آن یک کاربر
خدمات ابر جاوا اوراکل می تواند به برنامه های کاربردی و داده های کاربر
دیگر این خدمات در یک مرکز داده منطقه ای دسترسی یابد.
منظور از دسترسی امکان خواندن و نوشتن داده ها است و هم چنین امکان
اجرای کد جاوای دلخواه بر روی سرور WebLogic هدف می باشد. تمامی این دسترسی
ها با افزایش حق دسترسی ادمین صورت می گیرد. شرکت اوراکل تمامی ۳۰ آسیب
پذیری را در ۱۲ فوریه تایید کرده است اما هم چنان اصلاحیه ای برای آن ها
منتشر نکرده است.