Sybase-rettelser virker ikke

Artiklen blev oprindeligt publiceret den 26/10/2012

Sybase har for nylig udsendt sikkerhedsrettelser til 12 sårbarheder. Men rettelserne virker kun på to af sårbarhederne.

Sårbarhederne findes i databaseprogrammet Adaptive Server Enterprise (ASE). Sikkerhedsfirmaet TeamShatter opdagede sårbarhederne og informerede Sybase om dem.

I juli udsendte Sybase, der er et datterselskab af SAP, rettelser til de 12 sårbarheder.

TeamShatter har hentet, installeret og testet rettelserne. Og det viser sig, at 10 ud af de 12 sårbarheder stadig kan udnyttes, efter at rettelserne er installeret.

I et blogindlæg gør TeamShatter opmærksom på, at angribere nu har bedre mulighed for at udnytte sårbarhederne, fordi det er offentligt kendt, at de findes.

Hovedparten af sårbarhederne kan udnyttes af enhver bruger, der kan logge på Sybase.

I et blogindlæg oplyser TeamShatter, at Sybase har planer om at komme med nye rettelser. Men det vides ikke, hvornår det sker.

Anbefaling
Anvend de metoder til at mindske risikoen, TeamShatter nævner i blogindlægget, indtil Sybase udsender nye rettelser.

Links

• Sybase – Disclosed But Unpatched Vulnerabilities, blogindlæg fra TeamShatter
• Urgent from Sybase: Security vulnerabilities in ASE 15.0.3 and later. Plus potential hang and data loss issue.