Oracle Java Cloud: Forscher veröffentlichen zahlreiche Sicherheitslecks

Java-Anwendungen, die auf dem Service Oracle Java Cloud gehostet werden, lassen sich über verschiedene Sicherheitslücken angreifen. 30 Lecks sind bisher bekannt, die den Enterprise-Service teilweise massiv gefährden. Die Veröffentlichung soll die Sicherheit des Oracle-Dienstes verbessern, so das Unternehmen Security Explorations.

Oracle Java Cloud Die Sicherheitsforscher von Security Explorations haben technische Details und Proof-of-Concept-Code für insgesamt 30 Sicherheitslücken in Oracles Java Cloud Service veröffentlicht. Einige dieser Lecks erlauben es, in geschäftskritische Java-Anwendungen einzudringen.

Das polnische Sicherheitsunternehmen Security Explorations, das sich bereits in der Vergangenheit mit der Entdeckung verschiedener Java-Verwundbarkeiten einen Namen gemacht hat, habe sich zu der Veröffentlichung entschieden, weil die Sicherheitsexperten nicht damit zufrieden waren, wie Oracle mit den gemeldeten Fehlern umgegangen ist. Oracle äußert sich bislang nicht. Auch in dem Oracle-Sicherheits-Blog gibt es zu den berichteten Sicherheitslecks in der Oracle Java Cloud bisher keine Stellungnahme des Unternehmens.

Bereits Ende Januar hatte Security Explorations die Verwundbarkeiten an Oracle gemeldet, wie aus einer Pressemitteilung hervorgeht. Damals hatte das Unternehmen erklärt, dass von den 28 gefundenen Lecks 16 ausgenutzt werden können, um die Sicherheits-Sandbox auf einem angegriffenen WebLogic-Server vollständig zu umgehen. Auch Java API Whitelisting Rules könnten umgangen werden.

Ein Angreifer könne mit Hilfe eines gemeinsam genutzten WebLogic-Server-Admin-Passworts die Passwörter der anderen Nutzer in Klartext auslesen und damit dann bequem vom Web aus auf andere Anwendungen zugreifen, die im gleichen Rechenzentrum des Java Cloud Services gehostet werden. Es sei dadurch möglich, auf Anwendungen und Datenbanken von Nutzern des Java Cloud Services zuzugreifen hier beliebigen Java-Code auszuführen, warnen die Experten von Security Explorations.

Im Zuge der Veröffentlichung der Dokumentation der Lecks ist offenbar auch die Zahl der Verwundbarkeiten von 28 auf 30 angewachsen. Die Forscher entdeckten darüber hinaus, dass Oracle eine veraltete Version von Java SE nutzt, von der insgesamt 150 Sicherheitslecks bekannt sind. Auch hier existieren Fehler, die Code-Ausführung im Fernzugriff zulassen. Die Forscher warnen außerdem davor, dass Angriffe auch über Test-Accounts möglich seien, weil Oracle diese nicht von den produktiv genutzten Services trennt.

“Die Natur der Schwachstellen, die wir in Oracles Services gefunden haben, legen den Schluss nahe, dass hier im Vorfeld der Veröffentlichung keine Sicherheitstests durchgeführt wurden”, so die Sicherheitsforscher Ende Januar.

Zwei Monate nach der Meldung an Oracle legt das polnische Unternehmen noch einmal nach: “Zwei Monate nach der ersten Meldung, hat Oracle keine Informationen über die erfolgreiche Lösung der berichteten Schwachstellen in den Cloud-Datenzentren (US1 und EMEA1) vorgelegt”, heißt es auf einer Mitteilung im Rahmen der Veröffentlichung der technischen Dokumentationen der Schwachstellen.

Auch anderthalb Jahre nach der Veröffentlichung des Services, gebe Oracle offen zu, dass es nicht zusichern kann, ob es zukünftig überhaupt eine Lösung der Sicherheitsprobleme in den Cloud-Datenzentren kommunizieren könne, kritisieren die Sicherheitsforscher.

Nach wie vor arbeite Oracle an den Policies und der Sicherheit des Dienstes. Nun hoffen die Experten mit der Veröffentlichung die Sicherheit in dem Oracle-Angebot verbessern zu können. Zudem sollen Anwender, die den Service zwischen Juni 2013 und Januar 2014 in den beiden Datenzentren genutzt haben, diese Dokumentation heranziehen können, um auf Basis von unzureichender Sicherheit von Oracle Schadensersatz einzufordern. Denn immerhin sichert Oracle mit dem Java-Cloud-Service “Enterprise Security, High-Availability und Leistung für unternehmenskritische Anwendungen” zu.

Die technischen Dokumentationen zu den Lecks können hier herunter geladen werden:

  • Oracle Vulnerability Report, Issues #1-28, PDF file, 1087KB (download)
  • Oracle Vulnerability Report, Issues #29-30, PDF file, 210KB (download)
  • Proof of Concept codes and tools, ZIP file, 523KB (download)

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de