Videó: Загрузка и установка СУБД ORACLE / Илья Хохлов (November 2024)
Tekintettel a Javaban a közelmúltban tapasztalható sebezhetőségre és a technológia általános biztonságával kapcsolatos folyamatos aggodalmakra, az Oracle megígérte - ismét -, hogy megoldja a problémákat.
Az Oracle már végrehajtott néhány változtatást a Java-ban, és új kezdeményezéseket dolgoz ki a biztonság javítása érdekében - írta Nandini Ramani, az Oracle Java fejlesztési vezetője pénteken egy blogbejegyzésben. A különféle iparágak alkalmazottait célzó, magas szintű, web alapú támadások után Orace vállalta, hogy foglalkozik az alapul szolgáló kérdésekkel a platformok közötti környezetben.
A Ramani bejegyzésében körvonalazott két változás, beleértve az kisalkalmazás-biztonsági modell frissítéseit és a Java plugin alapértelmezett viselkedését, már életben van. Még vannak olyan fejlesztések, mint például a Java alkalmazások kezelése a visszavont tanúsítványokkal, a helyi biztonsági házirendek végrehajtása az egyéni szabályok létrehozása érdekében és a kiszolgálóoldali alkalmazásokhoz elérhető könyvtárak korlátozása. Ramani nem jelezte, hogy mikor lesznek elérhetők ezek a frissítések.
Mi a helyzet a homokozóval?
"Összességében véve ez jó dolog a Java számára, de ezek a változások nem oldják meg a Java homokozóval kapcsolatos alapvető problémákat" - mondta HD Moore, a Rapid7 vezető kutatótisztje és a Metasploit penetrációs tesztelési keret létrehozója. e-mailt a SecurityWatch-nek.
A Java homokozó egy védett terület, ahol az alkalmazásokat végrehajtják, az alapul szolgáló rendszertől elkülönítve. A homokozónak állítólag el kell érnie a rosszindulatú végrehajtható programokat, mielőtt átvehetik a gépet vagy eltéríthetik a futó folyamatokat. A támadók azonban számos biztonsági rést kihasználtak a Java homokozó megkerülésére.
"Mindaddig, amíg az Oracle nem hajtja végre az Adobe Reader és a Google Chrome által használt folyamatszintű homokszórást, egy érvényes aláírással rendelkező rosszindulatú kisalkalmazás továbbra is visszaélhet a JRE biztonsági hibáival, hogy elkerülje a homokozóot és veszélyeztesse a rendszert" - mondta Moore.
Az eddigi változások
Az Oracle nemrégiben frissítette a biztonsági modellt, így a felhasználók további jogosultságok megadása nélkül futtathatják az aláírt kisalkalmazásokat, és blokkolhatják az alá nem írt kisalkalmazások futását. Ez azt jelenti, hogy csak egy kisalkalmazás aláírása nem teszi automatikusan lehetővé a program számára, hogy kitörjön a homokozóból.
"Ez jó dolog a biztonság szempontjából" - mondta Moore.
Egy másik jó dolog az, hogy az alapértelmezett plug-in biztonsági beállítások megakadályozzák az aláíratlan vagy az önaláírással ellátott kisalkalmazások végrehajtását. A változás lehetővé teszi bizonyos webhelyek engedélyezését és a Java biztonsági házirendek központi kezelését a vállalkozásban - jegyezte meg Moore.
És hamarosan...
Jelenleg a Java támogatja mind a tanúsítvány-visszavonási listákat (CRL), mind az online tanúsítvány-állapot protokollt (OCSP) annak ellenőrzése érdekében, hogy az aláírt tanúsítvány továbbra is érvényes-e. Mivel azonban az ellenőrzést alapértelmezés szerint nem hajtják végre, még ha egy tanúsítványt visszavontak is, a támadók továbbra is használhatják ezt a rossz tanúsítványt. Az Oracle olyan frissítést tervez, amely alapértelmezés szerint lehetővé tenné az ellenőrzést.
A közelgő helyi biztonsági házirend további adminisztrátorokat biztosít az adminisztrátorok számára a házirend-beállítások felett, például lehetővé teszi a rendszergazdák számára, hogy meghatározzák, mely számítógépeken futtatják a Java kisalkalmazásokat, és melyek nem.
Bár a Java legutóbbi kísérletei befolyásolták a webböngészőben futó kisalkalmazásokat, az Oracle azt is vizsgálja, hogy miként lehetne biztosítani a szerveroldali alkalmazások biztonságát - mondta Ramani. Az egyik változás bizonyos könyvtárak eltávolítása, amelyek nem szükségesek a kiszolgálóoldalon a támadás felületének csökkentése érdekében.
A frissítések új ütemezése
Az Oracle szintén kicsit gyakrabban frissíti a Java-t. Jelenleg a Java évente háromszor frissül, az összes többi Oracle termékhez tartozó külön frissítési ütemtervet követve. A negyedéves kritikus javítás frissítése októberben kezdődik a Java javításokkal együtt - mondta Ramani. Az Oracle továbbra is szükség esetén kiadja a vészhelyzeti frissítéseket, "sávon kívül".
Tekintettel arra, hogy a CPU már időigényes erőfeszítést jelent az adminisztrátorok számára, a Java hozzáadása a keverékhez még finomabb frissítést tesz szükségessé. Másrészt ez azt jelenti, hogy az adminisztrátoroknak nem kell emlékezniük a Java különálló frissítési ütemezésére.
