Cloud-Systeme wie -Anwendungen stellen für sensible Daten durch ihren externen Standort ohnehin ein nicht zu verachtendes Sicherheitsrisiko dar, wir berichteten bereits mehrfach.
Wie heise security nun mitteilt, wartet die auf Java basierende Cloud von Oracle mit 30 Sicherheitslücken auf.
Der Inhalt im Überblick
Polnischer Sicherheitsforscher findet Lücken
Aufmerksam gemacht auf die 30 Sicherheitslücken hat der polnische Sicherheitsforscher Adam Gowdiak. Diese hat er, so berichtet heise weiter, bereits Mitte Januar an Oracle mitgeteilt. Dort erwiderte man, dass ein genaues Patch-Datum bzw. ein Patch-Zeitraum nicht genannt werden könne, da man bei Oracle noch am Umgang mit Sicherheitslücken in der Cloud arbeite. Adam Gowdiak dauerte dies zu lang, so dass er sich kurzerhand dazu entschloss, die Sicherheitslücken offenzulegen und gleichzeitig einen entsprechenden Beispielcode beizulegen.
Was genau ist betroffen?
Genau Informationen zu den Lücken können einer Presseinformation von security explorations entnommen werden. Mögliches Angriffszenario ist die Übernahme von Anwendungen durch die Lücken im WebLogic-Server und anderen Komponenten. Hierdurch kann einerseits die Sandbox umgangen werden, aber auch die Ausführung von Schadecode und der Zugriff auf Apps anderer Nutzer ist möglich.
Was passiert nun?
Nutzer von Oracles Cloud-Plattform sollten schnell handeln! Durch die Veröffentlichung von Bespielcode wird es erwartungsgemäß nicht lange dauern, bis Angreifer versuchen werden die betreffenden Lücken auszunutzen.
Abzuwarten bleibt, wie schnell Oracle reagiert und die Schwachstellen an der Plattform durch Critical Patch Updates (CPU) schließt bzw. die Lücken im Service selbst stopft. Solange Oracle hier keine Abhilfe schafft, sollten Anwender versuchen keine sensiblen Daten in der Cloud abzulegen.