Huller i Java Cloud står åbne

Artiklen blev oprindeligt publiceret den 3/4/2014

Sikkerhedsforskere har offentliggjort information om sårbarheder i Oracle Java Cloud Service og eksempler på, hvordan de kan udnyttes.

Det polske sikkerhedsfirma Security Explorations, der tidligere har fundet adskillige sårbarheder i Java, har analyseret Oracles Java Cloud Service. De har fundet frem til 30 sikkerhedsproblemer i tjenesten.

Nogle af sårbarhederne giver angribere mulighed for at kompromittere Java-applikationer, der kører på cloud-tjenesten.

Sikkerhedsforskerne har orienteret Oracle om problemerne. Nogle af dem findes kun i cloud-tjenesten, andre findes også i produkter, der sælges separat.

Oracle oplyser, at de stadig arbejder på deres politik for håndtering af sårbarheder i cloud-tjenester. De kan ikke love, at de i fremtiden vil give besked til finderen af en sårbarhed, når hullet bliver lukket.

Det er Security Explorations utilfredse med. De har derfor valgt at offentliggøre sårbarhederne, inden Oracle har udsendt sikkerhedsrettelser til dem.

Sikkerhedsforskerne har også udsendt eksempler på angrebsprogrammer, der udnytter sårbarhederne.

Anbefaling
Brugere af Java Cloud Service bør sætte sig ind i sårbarhederne og undersøge, om de kan få betydning for sikkerheden.

Links

• SE-2013-01 Vendors status, information fra Security Explorations
• SE-2013-01 Details, information fra Security Explorations
• Researchers publicly disclose vulnerabilities in Oracle Java Cloud Service, artikel fra Network World