(Bilde: Peter Kaminski, Wikimedia Commons)

Angrepskode mot Oracle offentliggjort

Usikkert om alle vil få en sikkerhetsfiks til databasesystemet.

I 2008 ble Oracle varslet av sikkerhetsforskeren Joxean Koret om en alvorlig sårbarhet som finnes i en rekke utgaver av Oracle Database, og som trolig har vært der siden 1999. Sårbarheten kan fjernutnyttes over et nettverk, uten autentisering, og kan resultere i full kompromittering av databasesystemet. Koret kaller sårbarheten for TNS Poison, siden den påvirker komponenten TNS Listener, som er ansvarlig for opprettelsen av forbindelser mellom klienter og serveren. Alt som er nødvendig for å utnytte sårbarheten, er nettverkstilgang til TNS Listener.

Den 17. april kom Oracle med et sikkerhetsvarsel hvor det går fram at sårbarheten som Koret hadde varslet om, har blitt fjernet i de kritiske sikkerhetsoppdateringene for april. Oracle hadde da brukt fire år på å fjerne sårbarheten.

Dagen etter publiserte Koret fulle detaljer om sårbarheten og hvordan den kan utnyttes. Dessverre er det ikke slik at når Oracle har laget en sikkerhetsfiks, så er den tilgjengelig for alle. Som selskapet skriver i et nytt sikkerhetsvarsel denne uken, har sårbarheten bare blitt fikset i det Oracle kaller for «main code line». Oracle skriver ikke nøyaktig hva dette innebærer, men mye tyder på at sårbarheten bare er fjernet fra koden til de aller nyeste og framtidige utgaver av Oracle Database.

Trolig har Koret misoppfattet dette og trodd at sikkerhetsfiksen allerede er tilgjengelig for alle. Han innrømmer i innlegget fra den 18. april at han selv ikke har testet patcehen.

– For å være ærlig, er jeg veldig trøtt av Oracle-verdenen, så jeg testet det ikke selv. Jeg ville ikke bli overrasket om patchen ikke fungerer riktig eller ikke fullstendig fjerner sårbarheten, skriver Koret.

Oracle skriver selv at selskapet vil gradvis forsøke å implementere sikkerhetspatchen også i eldre utgaver av programvaren, men at dette i visse tilfeller er svært vanskelig eller umulig å få til på grunn mengden av kode som må endres, fordi rettelsen vil skape betydelige regresjoner, eller fordi det ikke finnes noen god måte å automatisere bruken av feilfiksen.

Oracle oppgir her mottiltak som brukere av Oracle Database 10g og 11g kan iverksette. For å kunne tilby disse rådene gratis til alle kunder, har selskapet gjort en endringer i lisensen til Oracle Database Standard Edition.

    Les også:

Til toppen