Hul i Oracle-database står åbent

Artiklen blev oprindeligt publiceret den 27/4/2012

En sikkerhedsforsker har offentliggjort detaljer om en sårbarhed i Oracles databaseserverprogram i den tro, at hullet var lukket. Men det bliver det først i kommende versioner.

Sikkerhedsforsker Joxean Koret offentliggjorde detaljer og et angrebsprogram, der udnytter en sårbarhed i Oracle Database. Det skete, efter at han havde set, at en rettelse til sårbarheden var nævnt i de seneste kvartalsvise rettelser fra Oracle.

Men det viste sig senere, at Oracle ikke har udsendt rettelser til fejlen. I stedet vil den blive rettet i kommende versioner af produktet.

Joxean Koret opdagede sårbarheden i 2008 og informerede Oracle om den uden at offentliggøre detaljer. Han anslår, at den har været i produktet siden 1999.

Sårbarheden vurderes til at være kritisk. Der er altså ingen rettelse til den, men Joxean Koret har offentliggjort flere muligheder for at begrænse skadevirkningerne.

Anbefaling
Følg Joxean Korets anbefalinger til, hvordan man minimerer risikoen ved sårbarheden.

Links

• The history of a -probably- 13 years old Oracle bug: TNS Poison, indlæg af Joxean Koret
• Oracle TNS Poison vulnerability is actually a 0day with no patch available, indlæg af Joxean Koret