Fingertrøbbel kan lamme Oracle 9i AS

Applikasjonstjeneren Oracle 9i AS kan i teorien lammes av to bestemte skrivefeil i GET HTTP-kommandoer mot en cache-modul.

Sikkerhetsselskapet @stake oppdaget i sommer et sikkerhetshull i applikasjonstjeneren Oracle 9i AS. Oracle ble varslet 28. august. I går, to måneder seinere, publiserte @stake en sikkerhetsbulletin som viser til en advarsel på Oracle Technology Network. Denne advarselen er datert 4. oktober.

Hullet består i to bestemte måter å feilskrive en GET HTTP-kommando mot versjon 9.0.2.0.0 av modulen Web Cache i Windows-versjonen av Oracle 9i AS. Unix-versjonen har ikke denne sårbarheten. De to spesifikke feilskrivingene utløser et unntak og får modulen til å gå i stå, slik at hele tjenesten rammes.

Oracle sier i sin bulletin at feilen vil fikses i versjon 9.0.4 av applikasjonstjeneren, og at man sporer forsøk på misbruk. Systemansvarlige anbefales å holde seg til god sikkerhetsskikk, det vil si å begrense tilgangen til porten mot Web Cache-modulen, og en egenskap kalt "Secure Subnets" der tilgangen kan ytterligere begrenses til systemadministratorer som opererer ut fra spesifiserte IP-adresser.

Til toppen