CI Security Team entdeckt Sicherheitslücke bei Oracle

"Son of Alice" heißt der Angriff, mit dem unsere Security-Experten Ben und Jonas im Sommer eine Sicherheitslücke bei Oracle aufgedeckt haben. Das Test-Szenario nimmt Risiken bei der Authentifizierung mit X.509v3 Zertifikaten auf der Basis von Java und Tomcat ins Visier.

Im Rahmen eines Responsible Disclosure hat unser Team die Problematik mit Oracle besprochen, woraufhin Oracle die Logik zur Zertifikatsprüfung angepasst und im Rahmen des Critical Patch Update in Januar 2020 veröffentlicht hat. Hier wird die Cologne Intelligence als Contributer genannt. In seinem Blog-Beitrag "Trust Me if You Can - Part 2" erklärt Ben, wie der Versuchsaufbau aussah, beschreibt den Angriff und leitet daraus Empfehlungen für die Planung einer sicheren Architektur ab. Außerdem wird sein Vortrag im Rahmen des Frankfurter Entwicklertags am 20. Februar das Thema weiter vertiefen. Sichert Euch ein Ticket und kommt vorbei - wir sind auch mit einem Stand vertreten und freuen uns auf Euch!