Video: Владимир Ситников — Oracle Database + Java: проблемы производительности Enterprise-приложений (Noviembre 2024)
A la luz de las vulnerabilidades recientes encontradas en Java y las continuas preocupaciones sobre la seguridad general de la tecnología, Oracle ha prometido, nuevamente, que solucionará los problemas.
Oracle ya ha realizado algunos cambios en Java y está trabajando en nuevas iniciativas para mejorar la seguridad, escribió Nandini Ramani, jefe de desarrollo de Java en Oracle, en una publicación de blog el viernes. Después de una serie de ataques basados en la web de alto perfil dirigidos a los empleados en diversas industrias, Orace se comprometió a abordar los problemas subyacentes en el entorno multiplataforma.
Dos de los cambios descritos en la publicación de Ramani, incluidas las actualizaciones del modelo de seguridad del applet y el comportamiento predeterminado del complemento de Java, ya están activos. Actualmente se están desarrollando otros cambios, como la forma en que las aplicaciones Java manejan los certificados revocados, la implementación de políticas de seguridad locales para crear reglas personalizadas y la restricción de las bibliotecas disponibles para las aplicaciones del lado del servidor. Ramani no indicó cuándo estas actualizaciones estarán disponibles.
¿Qué pasa con la caja de arena?
"En conjunto, esto es bueno para Java, pero estos cambios no resuelven el problema subyacente con el entorno limitado de Java", dijo HD Moore, director de investigación de Rapid7 y creador del marco de prueba de penetración Metasploit. correo electrónico a SecurityWatch.
El entorno limitado de Java es un área protegida donde se ejecutan las aplicaciones, separadas del sistema subyacente. Se supone que el sandbox debe atrapar ejecutables maliciosos antes de que puedan hacerse cargo de la máquina o secuestrar procesos en ejecución. Sin embargo, los atacantes han explotado con éxito varias vulnerabilidades para evitar el entorno limitado de Java.
"Hasta que Oracle implemente el sandboxing a nivel de proceso, como el utilizado por Adobe Reader y Google Chrome, un applet malicioso con una firma válida aún puede abusar de las fallas de seguridad de JRE para escapar del sandbox y comprometer el sistema", dijo Moore.
Los cambios hasta ahora
Oracle actualizó el modelo de seguridad recientemente para que los usuarios puedan ejecutar applets firmados sin otorgar privilegios adicionales y bloquear la ejecución de applets sin firmar. Esto significa que solo firmar un applet ya no le da automáticamente al programa la capacidad de salir de la caja de arena.
"Esto es bueno para la seguridad", dijo Moore.
Otra cosa buena es el hecho de que la configuración de seguridad del complemento predeterminado ahora evita que se ejecuten applets sin firmar o autofirmados. El cambio ahora hace posible incluir en la lista blanca sitios web específicos y administrar centralmente las políticas de seguridad de Java en la empresa, señaló Moore.
Y muy pronto...
Actualmente, Java admite tanto las Listas de revocación de certificados (CRL) como el Protocolo de estado de certificados en línea (OCSP) para verificar si un certificado firmado sigue siendo válido. Sin embargo, dado que la verificación no se realiza de manera predeterminada, incluso si se hubiera revocado un certificado, los atacantes podrían seguir usando esa certificación incorrecta. Oracle está planeando una actualización que permitiría la verificación por defecto.
La próxima Política de seguridad local brinda a los administradores un control adicional sobre la configuración de la política, como permitir que los administradores del sistema definan qué computadoras ejecutarán los applets de Java y cuáles no.
Aunque todas las pruebas recientes de Java afectaron a los applets que se ejecutan en el navegador web, Oracle también está explorando formas de garantizar que las aplicaciones del lado del servidor permanezcan seguras, dijo Ramani. Un cambio sería eliminar ciertas bibliotecas que no son necesarias en el lado del servidor para reducir la superficie de ataque.
Nuevo horario para actualizaciones
Oracle también va a actualizar Java un poco más frecuentemente. Por el momento, Java se actualiza tres veces al año, siguiendo un cronograma de actualización separado de todos los demás productos de Oracle. La actualización trimestral Critical Patch comenzará a incluir correcciones de Java en octubre, dijo Ramani. Oracle aún lanzará actualizaciones de emergencia, "fuera de banda", cuando sea necesario.
Teniendo en cuenta que la CPU ya es un esfuerzo que requiere mucho tiempo para los administradores, agregar Java a la mezcla solo hace una actualización aún más gigantesca. Por otro lado, significa que los administradores no tienen que recordar la programación de actualización separada de Java.
