En mengde sikkerhetshull i Oracle

En britisk sikkerhetshetsekspert har funnet flere titalls sårbarheter i nåværende og tidligere Oracle-programvare.

Daglig leder for britiske Next Generation Security Software, David Litchfield sier til Wall Street Journal at både nåværende og tidligere utgaver av Oracles databaseprogramvare inneholder en mengde sårbarheter, til sammen 34, hvorav flere skal gjøre det mulig for uvedkommende å få tilgang til databasesystemet uten brukernavn og passord. Angriperne skal da blant annet kunne stjele eller endre data.

Ifølge Litchfield har Oracle vært kjent med problemene siden tidlig i år. Han karakteriserer noen av sårbarhetene som kritiske. Flere av dem skyldes overflytsfeil, og enkelte er i PL-SQL-språket, som i mange tilfeller benyttes for å sende kommandoer til databasessystemet.

    Les også:

Oracles sikkerhetssjef, Mary Ann Davidson, bekrefter overfor Wall Street Journal at sikkerhetshullene eksisterer. Hun forteller videre at selskapet er i ferd med å avslutte utarbeidelsen av sikkerhetsfikser som skal fjerne sårbarhetene. Hun bestrider heller ikke at sårbarhetene er alvorlige.

Litchfield er ifølge Wall Street Journal en av de mest kjente "sårbarhetsjegerne" i verden, ikke minst etter at han slapp kildekode som kunne utnytte en sårbarhet i Microsofts SQL Server. Denne kildekoden ble senere utnyttet for å lage SQL Slammer-ormen.

Til toppen