Oracle遭遇云安全危机:30个安全漏洞攻击代码被提前公开
作者:星期三, 四月 9, 20140

oracle-cloud

波兰的信息安全公司Security Explorations(以下简称SE)近日公布了30个Oracle Java云服务漏洞攻击代码,攻击者可以使用这些攻击代码读取和修改用户敏感数据,执行恶意代码。

通常研究者会在厂商修补漏洞后才公布攻击代码,这样可以避免不法之徒滥用漏洞信息,但是此次Oracle云服务漏洞尚未修复攻击代码就被公布显然有些不同寻常,这对于Oracle和其云服务用户来说都是一个严重的云安全危机事件。

据提前发布Oracle云服务漏洞攻击代码的SE公司透露,Oracle代表没能及时解决诸如绕过Java 安全沙盒、绕过Java白名单规则、使用共享WebLogic服务器管理员密码以及在系统中使用明文存储密码的问题。SE公司首席执行官Adam Gowdiak不无恼怒地指出:

Oracle公开表示无法承诺就修补其云数据中心安全漏洞的事宜进行沟通解决。

据悉SE公司此前还发现了Oracle的Java软件框架中的多个严重漏洞,攻击者可以在最终用户电脑中偷偷安装恶意软件。

Oracle于2011年推出Java云服务,目的是与Salesforce.com在云计算SaaS应用服务领域展开直接竞争。此次多个云安全漏洞攻击代码被提前公开,对Oracle的云服务业务将会是一个不小的打击。

SE将所发现的Oracle云服务的漏洞和攻击代码制作成了一份报告(分为两个部分),读者可点击下面链接下载(报告一)(报告二)。

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章