Fem sikkerhetsvarsler fra Oracle

Den siste uken har Oracle advart sine kunder om flere nyoppdagede sårbarheter i både databasen og applikasjonsserveren.

Siden 11. februar har Oracle sendt ut fem sikkerhetsvarsler gjennom tjenesten Oracle Security Alerts. Det dreier seg om to sårbarheter i applikasjonsserveren 9iAS og fire oversvømbare buffere i selve databasen, både versjon 8 og 9, på forskjellige plattformer.

Igjen er det brødrene Mark og David Litchfield i selskapet NGSSoftware som krediteres oppdagelsen. De har tidligere gjort seg bemerket gjennom avsløringen av sårbarheten som Slammer-ormen utnyttet i Microsoft SQL-Server, og gjennom en avsløring av flere Oracle-sårbarheter i fjor da ”unbreakable”-kampanjen ble kjørt som verst.

Les også:

Det er lagt ut fikser for alle sårbarhetene, og det anbefales sterkt å installere dem så fort råd er.

Diskusjonen på nettstedet Bugtraq tyder på at sårbarhetene er enda mer alvorlige enn det Oracle gir inntrykk av, og at angripere kan gå fra tjenestenekt til direkte innbrudd ved å kombinere flere av dem. En teori er at man kan utnytte en ufikset applikasjonstjener til å få kontroll over den, og deretter bore seg vei gjennom brannmuren og få kontroll over databasen.

Til toppen