Oracles Java-Cloud-Plattform mit zahlreichen Sicherheitslücken

cloud 04
News

Cloud-Systeme wie -Anwendungen stellen für sensible Daten durch ihren externen Standort ohnehin ein nicht zu verachtendes Sicherheitsrisiko dar, wir berichteten bereits mehrfach.

Wie heise security nun mitteilt, wartet die auf Java basierende Cloud von Oracle mit 30 Sicherheitslücken auf.

Polnischer Sicherheitsforscher findet Lücken

Aufmerksam gemacht auf die 30 Sicherheitslücken hat der polnische Sicherheitsforscher Adam Gowdiak. Diese hat er, so berichtet heise weiter, bereits Mitte Januar an Oracle mitgeteilt. Dort erwiderte man, dass ein genaues Patch-Datum bzw. ein Patch-Zeitraum nicht genannt werden könne, da man bei Oracle noch am Umgang mit Sicherheitslücken in der Cloud arbeite. Adam Gowdiak dauerte dies zu lang, so dass er sich kurzerhand dazu entschloss, die Sicherheitslücken offenzulegen und gleichzeitig einen entsprechenden Beispielcode beizulegen.

 Was genau ist betroffen?

Genau Informationen zu den Lücken können einer Presseinformation von security explorations entnommen werden. Mögliches Angriffszenario ist die Übernahme von Anwendungen durch die Lücken im WebLogic-Server und anderen Komponenten. Hierdurch kann einerseits die Sandbox umgangen werden, aber auch die Ausführung von Schadecode und der Zugriff auf Apps anderer Nutzer ist möglich.

 Was passiert nun?

Nutzer von Oracles Cloud-Plattform sollten schnell handeln! Durch die Veröffentlichung von Bespielcode wird es erwartungsgemäß nicht lange dauern, bis Angreifer versuchen werden die betreffenden Lücken auszunutzen.

Abzuwarten bleibt, wie schnell Oracle reagiert und die Schwachstellen an der Plattform durch Critical Patch Updates (CPU) schließt bzw. die Lücken im Service selbst stopft. Solange Oracle hier keine Abhilfe schafft, sollten Anwender versuchen keine sensiblen Daten in der Cloud abzulegen.

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Auswahl eines Cloud Anbieters nach Aspekten des Datenschutzes
  • Einhaltung gesetzlicher Anforderungen bei Beauftragung internationaler Cloud Anbieter
  • Datenschutzvereinbarungen und Zertifizierungen für Cloud Anbieter

Informieren Sie sich hier über unser Leistungsspektrum: Outsourcing mit Cloud-Diensten

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.