Video: Загрузка и установка СУБД ORACLE / Илья Хохлов (November 2024)
Vzhľadom na nedávne zraniteľné miesta nájdené v Jave a pretrvávajúce obavy o celkovú bezpečnosť technológie spoločnosť Oracle opäť prisľúbila, že problémy vyrieši.
Spoločnosť Oracle už vykonala určité zmeny v jazyku Java a pracuje na nových iniciatívach na zvýšenie bezpečnosti. Nandini Ramani, vedúca oddelenia vývoja jazyka Java v spoločnosti Oracle, napísala v piatok blogový príspevok. Po sérii významných útokov na webe zameraných na zamestnancov v rôznych odvetviach sa Orace zaviazala riešiť základné problémy v prostredí viacerých platforiem.
Dve zo zmien načrtnutých v príspevku Ramaniho, vrátane aktualizácií bezpečnostného modelu apletu a predvoleného správania doplnku Java, sú už aktívne. V súčasnosti sa vyvíjajú ďalšie zmeny, napríklad spôsob, akým Java aplikácie spracúvajú zrušené certifikáty, implementujú miestne bezpečnostné politiky na vytváranie vlastných pravidiel a obmedzujú knižnice dostupné pre aplikácie na strane servera. Ramani neuviedol, kedy budú tieto aktualizácie k dispozícii.
A čo pieskovisko?
„Celkovo je to pre Java dobré, ale tieto zmeny neriešia základný problém so samotným karanténom Java, “ uviedol vedecký pracovník spoločnosti HD Moore, vedúci výskumu Rapid7 a tvorca penetračného testovacieho rámca Metasploit. e-mail na SecurityWatch.
Karanténa Java je chránená oblasť, v ktorej sa vykonávajú aplikácie, oddelená od základného systému. Pieskovisko má chytiť škodlivé spustiteľné súbory skôr, ako môžu prevziať procesy alebo uniesť bežiace procesy. Útočníci však úspešne zneužili niekoľko slabých miest na obídenie karantény Java.
„Kým spoločnosť Oracle nezavedie karanténu na úrovni procesov, ako napríklad aplikáciu Adobe Reader a Google Chrome, škodlivý aplet s platným podpisom môže stále zneužívať bezpečnostné chyby JRE, aby unikol z karantény a ohrozil systém, “ uviedol Moore.
Zmeny zatiaľ
Spoločnosť Oracle nedávno aktualizovala model zabezpečenia, aby používatelia mohli spúšťať podpísané applety bez udelenia ďalších privilégií a blokovať spustenie nepodpísaných appletov. To znamená, že iba podpísanie appletu už automaticky nedáva programu možnosť vystúpiť z karantény.
„Je to dobrá vec pre bezpečnosť, “ povedal Moore.
Ďalšou dobrou vecou je skutočnosť, že predvolené nastavenia zabezpečenia doplnku teraz bránia vykonaniu nepodpísaných alebo self-signed appletov. Táto zmena teraz umožňuje bielu listinu konkrétnych webových stránok a centrálne spravovať bezpečnostné politiky Java v podniku, poznamenal Moore.
A čoskoro...
V súčasnosti Java podporuje zoznamy zrušených certifikátov (CRL) a protokol online stavu certifikátov (OCSP) na overenie, či je podpísaný certifikát stále platný. Keďže sa však kontrola v predvolenom nastavení nevykonáva, aj keby bol certifikát zrušený, útočníci by mohli túto zlú certifikáciu naďalej používať. Oracle plánuje aktualizáciu, ktorá by štandardne umožňovala kontrolu.
Budúca politika lokálnej bezpečnosti poskytuje správcom ďalšiu kontrolu nad nastaveniami politiky, napríklad umožňuje správcom systému definovať, ktoré počítače spúšťajú aplety Java a ktoré počítače nemôžu.
Aj keď všetky nedávne testy jazyka Java ovplyvnili applety spustené vo webovom prehľadávači, spoločnosť Oracle tiež skúma spôsoby, ako zaistiť bezpečnosť aplikácií na strane servera, uviedol Ramani. Jednou zmenou by bolo odstránenie určitých knižníc, ktoré nie sú potrebné na strane servera, aby sa zmenšil povrch útoku.
Nový plán aktualizácií
Oracle bude tiež aktualizovať Java trochu častejšie. V súčasnosti je Java aktualizovaná trikrát ročne podľa osobitného plánu aktualizácie od všetkých ostatných produktov Oracle. Štvrťročná aktualizácia kritických opráv začne obsahovať opravy Java v októbri, povedal Ramani. Spoločnosť Oracle bude v prípade potreby naďalej vydávať núdzové aktualizácie „mimo pásma“.
Vzhľadom na to, že CPU je už pre administrátorov časovo náročné úsilie, pridanie Java do mixu len prispieva k ešte väčšej aktualizácii gargantuanov. Na druhej strane to znamená, že správcovia si nemusia pamätať na samostatný plán aktualizácie Java.