Experts ontdekken fout in monsterpatch Oracle
Gepubliceerd: Vrijdag 11 november 2005
Auteur: Wilbert de Vries
Experts hebben een fout ontdekt in Oracle's monsterpatch van oktober. Systemen lijken ongevoelig voor een lek, terwijl ze dat niet zijn.
De patch van Oracle kan bepaalde bestanden niet op de diverse besturingssystemen installeren, zo ontdekte Next Generation Security Software (NGSS). Het gaat hierbij om de gepatchte Oracle Text-componenten voor Oracle 8.1.7.4, aldus het beveiligingsbedrijf.
"Zelfs als je Oracle Text hebt geïnstalleerd, zal de patch niet de nieuwe pl/sql-pakketten installeren", zo schrijft NGSS in een eerder deze week verstuurde mail naar de Buqtraq-mailinglijst.
Hierdoor kan een gebruiker met weinig rechten, administratorrechten krijgen. In bepaalde gevallen kan dit zelfs via internet worden misbruikt zonder dat er een gebruikersnaam of wachtwoord nodig is, aldus de onderzoekers.
Monsterpatch
In oktober gaf Oracle een monsterpatch uit die maar liefst 89 lekken in zijn database- en serversoftware moest dichten. Dit was de tweede keer dat de fabrikant een dergelijk grote patch uitbracht.
De eerste keer dat Oracle dit deed was in juli van dit jaar. De fabrikant gaf toen twee patchbundels vrij om fouten in eerdere patches te herstellen. Een van die eerdere patches was feitelijk al een patch om een fout in een andere set patches te dichten - een patch voor een patch voor een patch dus.
