Oracle tetter en mengde sikkerhetshull

Oracle publiserte tirsdag en lang rekke sikkerhetsfikser til mange av selskapets produkter.

Oracle opplyser på denne siden at selskapet har utgitt 36 oppdateringer til selskapets produkter. Mange av disse, men ikke alle, er sikkerhetsrelaterte.

Blant de mest alvorlige sårbarhetene regnes en inndata-valideringsfeil i "Log Miner"-komponenten ("dbms_logmnr_session" pakken) som kan utnyttes til å manipulere SQL-forespørsler ved å sette inn vilkårlig SQL-kode. Dette kan utnyttes til blant annet å manipulere data.

Dessuten har Oracle ha tettet en tidligere mye omtalt sårbarhet som David Litchfield gjorde selskapet oppmerksom på for mer enn seks måneder siden. I januar var Litchfield lei av å vente på at Oracle skulle gjøre noe med sårbarheten, og avslørte den under en sikkerhetskonferanse. Dette ble ikke godt mottatt av Oracle, men har kanskje ført til at selskapet, som også flere ganger tidligere har brukt svært lang tid på å tette sikkerhetshull, nå har gjort noe med problemet.

Den aktuelle sårbarheten skyldes ifølge Secunia en feil i Oracle PL/SQL Gateway-komponenten under validering av visse HTTP-forespørsler. Dette kan utnyttes til å omgå "PLSQLExclusion"-listen og få tilgang til ekskluderte pakker og prosedyrer ved hjelp av spesielt utformede HTTP-forespørsler.

Vellykket utnyttelse skal gjøre det mulig å få DBA-tilgang til backend-servere gjennom webserveren. Den sårbare komponenten er inkludert i Oracle Application Server og Oracle HTTP Server.

Til toppen