Video: Загрузка и установка СУБД ORACLE / Илья Хохлов (Octombrie 2024)
Având în vedere vulnerabilitățile recente găsite în Java și preocupările continue cu privire la securitatea generală a tehnologiei, Oracle a promis - din nou - că va rezolva problemele.
Oracle a făcut deja unele modificări la Java și lucrează la noi inițiative pentru îmbunătățirea securității, a scris vineri Nandini Ramani, șeful dezvoltării Java la Oracle. După o serie de atacuri de înaltă profil bazate pe Web au vizat angajații din diverse industrii, Orace s-a angajat să abordeze problemele care stau la baza în mediul multiplă platformă.
Două dintre modificările prezentate în postarea lui Ramani, inclusiv actualizări la modelul de securitate al appletului și comportamentul implicit al pluginului Java, sunt deja live. Alte modificări, cum ar fi modul în care aplicațiile Java gestionează certificatele revocate, punerea în aplicare a politicilor locale de securitate pentru a crea reguli personalizate și restricționarea bibliotecilor disponibile pentru aplicațiile din server, sunt în prezent în dezvoltare. Ramani nu a indicat când vor fi disponibile aceste actualizări.
Ce zici de Sandbox?
"În general, acest lucru este bun pentru Java, dar aceste schimbări nu rezolvă problema de bază a sandbox-ului Java în sine", a declarat HD Moore, director de cercetare Rapid7 și creatorul cadrului de testare a penetrării Metasploit. e-mail la SecurityWatch.
Sandbox Java este o zonă protejată în care aplicațiile sunt executate, separate de sistemul de bază. Se presupune că sandbox-ul prinde executabile rău intenționate înainte de a putea prelua procesele de rulare a mașinii sau de a deturna. Cu toate acestea, atacatorii au exploatat cu succes mai multe vulnerabilități pentru a ocoli cutia de nisip Java.
„Până când Oracle pune în aplicare sandboxing-ul la nivel de proces, cum este cel folosit de Adobe Reader și Google Chrome, un applet rău intenționat poate semnala defectele de securitate JRE pentru a scăpa cutia de nisip și a compromite sistemul”, a spus Moore.
Modificările de până acum
Oracle a actualizat recent modelul de securitate, astfel încât utilizatorii să poată rula appleturi semnate, fără să acorde privilegii suplimentare și să blocheze rularea appleturilor nesemnate. Aceasta înseamnă că doar semnarea unei applet nu mai oferă automat programului posibilitatea de a ieși din sandbox.
"Acesta este un lucru bun pentru securitate", a spus Moore.
Un alt lucru bun este faptul că setările implicite de securitate a plug-in-urilor împiedică acum executarea appleturilor nesemnate sau semnalate de la sine. Schimbarea face acum posibilă listarea pe anumite site-uri Web și gestionarea centrală a politicilor de securitate Java în cadrul întreprinderii, a menționat Moore.
Și în curând...
În prezent, Java acceptă atât listele de revocare a certificatelor (CRL), cât și Protocolul de stare a certificatelor online (OCSP) pentru a verifica dacă un certificat semnat este încă valabil. Cu toate acestea, întrucât verificarea nu este efectuată implicit, chiar dacă un certificat a fost revocat, atacatorii ar putea continua să utilizeze această certificare proastă. Oracle planifică o actualizare care ar permite verificarea implicită.
Următoarea Politică locală de securitate oferă administratorilor un control suplimentar asupra setărilor politicii, cum ar fi permis administratorilor de sistem să definească ce computere să ruleze applet Java și ce computere nu le pot.
Chiar dacă toate procesele recente ale Java au afectat appleturile care rulează în browserul Web, Oracle explorează, de asemenea, modalități de a vă asigura că aplicațiile din partea serverului rămân în siguranță, a spus Ramani. O modificare ar fi eliminarea anumitor biblioteci care nu sunt necesare pe partea serverului pentru a reduce suprafața de atac.
Program nou pentru actualizări
Oracle va actualiza Java un pic mai des. În acest moment, Java este actualizat de trei ori pe an, în urma unui program de actualizare separat de toate celelalte produse Oracle. Actualizarea trimestrială a Patch Critical va începe inclusiv corecțiile Java în octombrie, a spus Ramani. Oracle va lansa încă actualizări de urgență, „în afara bandei”, atunci când este necesar.
Având în vedere că CPU este deja un efort intensiv pentru administratori, adăugarea Java în mix înseamnă doar o actualizare și mai importantă. Pe de altă parte, înseamnă că administratorii nu trebuie să-și amintească programul de actualizare separat al Java.
