Angriffscode für Oracle Java Cloud Service veröffentlicht

Ein Sicherheitsforscher hat technische Einzelheiten und sogar fertigen Angriffscode für 30 Sicherheitslücken in Oracles Java Cloud Service veröffentlicht (PDF). Darunter sind auch solche, mit denen ein Angreifer in Cloud-Rechenzentren laufende Apps attackieren könnte. Laut Security Explorations sind Kunden von Oracles Rechenzentren in den USA und Europa betroffen.

Publik gemacht hat diese Angriffsmöglichkeiten Adam Gowdiak, der Chef des polnischen Unternehmens Security Explorations. Oracle habe die Korrespondenz mit ihm eingestellt, berichtet er. Das Unternehmen habe ihm zwar versichert, für 24 der 30 Lücken seien Patches fertig, wollte sich jedoch nicht auf einen Zeitpunkt für die Veröffentlichung festlegen.

Dass zum von Gowdiak nun vorgelegten Material auch neun Angriffswerkzeuge gehören, die als Proof-of-Concept dienen sollen, dürfte den Druck auf den Softwarekonzern noch erhöhen. Der Schadcode nutzt eine Kombination aus 19 Lücken, die mit einer unsicheren Implementierung der Java Reflection API in einer Umgebung mit Weblogic Server zusammenhängen. „Nutzt man sie erfolgreich aus, kann man problemlos die Java-Sandbox einer Weblogic-Server-Instanz kompromittieren“, erklärt Gowdiak.

Anschließend ließen sich fremde Apps angreifen und Java-Code ausführen: „Ein Angreifer kann dies weiter nutzen, um sich Zugang zu Anwendungen anderer User von Oracle Java Cloud im gleichen regionalen Rechenzentrum zu verschaffen. Das schließt sowohl Zugang zu den Anwendungen der anderen Nutzer und ihren Datenbanken ein als auch Ausführen beliebigen Codes auf ihren Systemen.“ Dies habe Security Explorations schon verifizieren können.

Durch eine Kombination von vier weiteren Lücken lassen sich zudem Verifikationsprozesse umgehen, ebenso wie Systeme für Whitelisting und Antivirensoftware, die in Oracles Cloud Java Software dazu dienen sollen, unerwünschte Funktionen abzublocken. Außerdem verwende Oracle in seinen Rechenzentren für die USA und Europa veraltete Versionen von Java SE 6 und 7. Etwa 120 seit Ende 2012 veröffentlichte Updates fehlten ihr, schreibt Gowdiak.

In einer von Gowdiak vorgelegten Mail betont Oracle, es veröffentliche fertige Patches nicht einzeln, sondern kumuliert und für alle User. Richtlinien für den Umgang mit Cloud-Anfälligkeiten seien allerdings noch in Arbeit. Oracles nächstes Update mit kritischen Patches, das auch Patches für Java bringen soll, ist für 15. April geplant.

[mit Material von Liam Tung, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

9 Stunden ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

24 Stunden ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

1 Tag ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

1 Tag ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

1 Tag ago

1 Million Dollar: Apple zahlt Prämie für Hack seiner Apple Intelligence Server

Ein neues Bug-Bounty-Programm beschäftigt sich mit Apples Private Cloud Compute. Prämien gibt es unter für…

2 Tagen ago