Oracle Database må leve med 0-dags sårbarhed

Oracle har siden 2008 kendt til et sikkerhedshul i Oracle Database, men har ikke kunnet lukke det med en patch. Nu er sårbarheden sluppet ud.

Et alvorligt sikkerhedshul i Oracles flagskib, Oracle Database, er nu offentligt kendt, efter Oracle har haft fire år til at lukke sikkerhedshullet. Det skriver den sikkerhedsekspert, Joxean Koret, som fandt sikkerhedshullet, i en besked til mailing-listen Full Disclosure.

Sikkerhedshullet findes ifølge Oracle i alle nuværende versioner af Oracle Database, og det påvirker dermed også de applikationer, som benytter Oracle Database som eksempelvis Oracle E-Business Suite og Oracle Fusion Middleware.

Der er tale om et sikkerhedshul i en komponent, som er tilgængelig via netværket, og kan udnyttes uden login-oplysninger til at trække fortrolige oplysninger ud af databasen eller gøre systemerne utilgængelige.

Joxean Koret offentliggjorde detaljer om sårbarheden tidligere i april, fordi han angiveligt antog, at Oracle havde lukket sikkerhedshullet, fordi han var anført i en patch-meddelelse fra Oracle.

Oracle oplyste dog efterfølgende til Joxean Koret, at det ikke var muligt at lukke sikkerhedshullet med en patch, fordi der var for stor risiko for at ødelægge bagudkompatibiliteten. Derfor vil Oracle lukke sikkerhedshullet i fremtidige versioner af Oracle Database.

Det betyder, at de nuværende versioner af Oracle Database stadig er sårbare. Ifølge Oracle er der dog visse foranstaltninger, man kan bruge for at mindske risikoen ved sikkerhedshullet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere
Jobfinder Logo
Job fra Jobfinder

Call to action

Et alvorligt sikkerhedshul i Oracles flagskib, Oracle Database, er nu offentligt kendt, efter Oracle har haft fire år til at lukke sikkerhedshullet. Det skriver den sikkerhedsekspert, Joxean Koret, som fandt sikkerhedshullet, i en besked til mailing-listen Full Disclosure. Sikkerhedshullet findes ifølge
Oracle i alle nuværende versioner af Oracle Database, og det påvirker dermed også de applikationer, som benytter Oracle Database som eksempelvis Oracle E-Business Suite og Oracle Fusion Middleware. Der er tale om et sikkerhedshul i en komponent, som er tilgængelig via netværket, og kan udnyttes uden login-oplysninger til at trække fortrolige oplysninger ud af databasen eller gøre systeme...