Ældre Oracle-versioner er sårbare

Artiklen blev oprindeligt publiceret den 29/1/2014

En sikkerhedsforsker har offentliggjort tre sårbarheder i Oracle Forms and Reports. Hun kritiserer, at Oracle ikke har rettet dem effektivt og regner dem for mindre alvorlige.

Sikkerhedsforsker Dana Taylor kontaktede Oracle i 2011 om to af sårbarhederne. Firmaet nægtede først, at der var tale om en sårbarhed. De ændrede holdning senere, men gav sårbarhederne en lav risikovurdering. En rettelse til version 11g blev udsendt i oktober 2012.

Hun skriver i et blogindlæg, at den lave vurdering kan medføre, at mange ikke indfører de muligheder for at beskytte sig mod sårbarhederne, som findes. Brugere af ældre versioner skal selv indføre dem for at beskytte sig.

Angribere kan udnytte sårbarhederne til at afvikle kommandoer på den sårbare server. De kan få adgang til passwords og bruge serveren som proxy til at tilgå andre servere på netværket.

Anbefaling
Brugere af Oracle Forms and Reports bør kontrollere, om deres installation er sårbar.

Links

• Researcher discloses critical flaws in Oracle Forms and Reports, artikel fra CSO Online
• Oracle Reports CVE-2012-3152 And CVE-2012-3153, blogindlæg af Dana Taylor
• Getting a remote shell on Oracle Forms and Reports 11g, blogindlæg af Dana Taylor
• Hacking Oracle Reports 11g, blogindlæg af Dana Taylor