国外安全厂商披露30个Java云服务的0day细节

波兰的一家安全公司近日揭示批漏了30个Java云服务的0day漏洞和相应利用代码,这些漏洞允许客户在其服务器集群上部署Java应用程序。

该公司在一月底二月初的时候,已经向Oracle递交了这些漏洞及有关的PoC代码,并且确认他们已经收到了报告。截至2月末的时候,Oracle的月度报告中报告了相关问题,告知安全研究人员,已修复了发现了的24个漏洞,剩下的六个漏洞也已经研究过,正在修复程序代码。

让研究人员特别担心的是US1和EMEA1数据中心,希望Oracle公司在修补完所有漏洞可以通知他们。不过到现在他们还没有,该安全公司认为他们已经给Oracle公司足够的时间修复问题,所以决定公布他们发现的漏洞。

“在初步报告两个月后,Oracle公司依旧没有在他们的商业运数据中心公布关于成功解决漏洞问题的报告。”该安全公司指出。

“Oracle通讯仍然作为云计算漏洞处理策略之一。此外,该公司公开承认,这种解决漏洞安全的策略将来或许会影响云数据中心的安全也未可知。”

该公司表明,“在总共发现的28个问题中,其中的16个漏洞,可以利用其突破目标服务器中的Java安全沙箱。攻击者进一步可利用此来访问Java云服务同一区域中心的其他用户的应用程序部署,这也就进一步意味着可以访问用户应用程序,也可以访问数据库甚至在系统上执行任意的Java代码。”

该公司进一步推测,由Oracle的服务发现的薄弱环节的性质表明,在其公开发售前,可能并没有进行车彻底的安全审查和渗透测试。

关于该安全公司的研究方法的更多信息可以在这篇FAQ中找到。

原文发布于微信公众号 - 安恒信息(DBAPP2013)

原文发表时间:2014-04-29

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏跟着阿笨一起玩NET

系统架构师-基础到企业应用架构-客户端/服务器

本文转载:http://www.cnblogs.com/hegezhou_hot/archive/2011/11/07/2238983.html#

21410
来自专栏腾讯技术工程官方号的专栏

腾讯研发专家:TXSQL如何成为云计算时代数据库核弹头?

27110
来自专栏哲学驱动设计

Rafy 领域实体框架 - 公司内部培训视频

本月给公司内部一个项目做架构重构,其中使用到了 Rafy 框架。所以我培训了 Rafy 领域实体框架的使用方法,过程中录制了视频,方便其他同事查看。现在把视频放...

21070
来自专栏微信小程序开发

小程序“功能直达”内测,你读懂了什么?

小程序“功能直达”功能正式开始内测。部分小程序已收到内测邀请。 ? 开启这个功能后用户可在“发现-小程序”中通过搜索找到小程序提供的功能。 小程序将获得更多用户...

586130
来自专栏云加头条

张青林:TXSQL是什么?云计算时代数据库核弹头

腾讯MySQL内核研发专家张青林在腾讯“云+未来”峰会的「开发者专场」做了主题为“TXSQL:云计算时代数据库核弹头”的技术内容分享,本次分享从五个方面介绍TX...

81520
来自专栏黑白安全

数万组织因为 Google Groups 配置出错而泄露敏感数据

Kenna Security 的安全研究人员最近发现,9,600 家分析机构中有 31% 的机构因为 Google 网上论坛和 G Suite 配置出错而泄露敏...

17230
来自专栏知晓程序

深度解读!小程序新增能力意味着什么?

16330
来自专栏草根博客站长有话说

申请 Google AdSense 账号获批通过的技巧

有很多博客站长都经常问明月如何申请 Google AdSense 账号获批通过,明月的 AdSense 账号申请的太久了,久到我已经回忆不起来细节了,所以能给大...

69230
来自专栏Java架构

Java分布式架构的演进过程

1946年,世界上第一台电子计算机在美国的宾夕法尼亚大学诞生,它的名字是:ENICAC ,这台计算机的体重比较大,计算速度也不快,但是而代表了计算机时代的到来,...

21760

移动广告库为企业数据带来重大风险

每天在 Mojave Threat Labs,我们的研究团队都会使用超过 200 个个人风险因素来分析数以千计的移动应用程序。我们跟踪的关键风险因素之一是收集并...

11500

扫码关注云+社区

领取腾讯云代金券