你好,游客 登录 注册 发布搜索
背景:
阅读新闻

国外安全厂商披露30个Java云服务的0day细节

[日期:2014-04-21] 来源:FreebuF  作者:韩希宇 [字体: ]

  ‍‍波兰的一家安全公司近日揭示批漏了30个Java云服务的0day漏洞和相应利用代码,这些漏洞允许客户在其服务器集群上部署Java应用程序。

云服务

  该公司在一月底二月初的时候,已经向Oracle递交了这些漏洞及有关的PoC代码,并且确认他们已经收到了报告。截至2月末的时候,Oracle 的月度报告中报告了相关问题,告知安全研究人员,已修复了发现了的24个漏洞,剩下的六个漏洞也已经研究过,正在修复程序代码。

  让研究人员特别担心的是US1和EMEA1数据中心,希望Oracle公司在修补完所有漏洞可以通知他们。不过到现在他们还没有,该安全公司认为他们已经给Oracle公司足够的时间修复问题,所以决定公布他们发现的漏洞。

  “在初步报告两个月后,Oracle公司依旧没有在他们的商业运数据中心公布关于成功解决漏洞问题的报告。”该安全公司指出。

  “Oracle通讯仍然作为云计算漏洞处理策略之一。此外,该公司公开承认,这种解决漏洞安全的策略将来或许会影响云数据中心的安全也未可知。”

  该公司表明,“在总共发现的28个问题中,其中的16个漏洞,可以利用其突破目标服务器中的Java安全沙箱。攻击者进一步可利用此来访问Java 云服务同一区域中心的其他用户的应用程序部署,这也就进一步意味着可以访问用户应用程序,也可以访问数据库甚至在系统上执行任意的Java代码。”

  该公司进一步推测,由Oracle的服务发现的薄弱环节的性质表明,在其公开发售前,可能并没有进行车彻底的安全审查和渗透测试。

  关于该安全公司的研究方法的更多信息可以在这篇FAQ中找到。

猜您喜欢:

  1.漫谈云服务是什么

  2.云服务是什么

收藏 推荐 打印 | 录入:Cstor | 阅读:
本文评论   查看全部评论 (0)
表情: 表情 姓名: 字数
点评:
       
评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
  • 本站管理人员有权保留或删除其管辖留言中的任意内容
  • 本站有权在网站内转载或引用您的评论
  • 参与本评论即表明您已经阅读并接受上述条款