Oracle-medewerker blundert met databaselek
Gepubliceerd: Dinsdag 11 april 2006
Auteur: Niels de Rijk
Oracle werkt hard aan een patch voor een lek in Oracle Database 9i en 10g. Een medewerker had per abuis een exploit gepubliceerd.
Kwaadwillenden blijken met gemanipuleerde queries gegevens te kunnen wijzigen in Oracle-databases (versies 9.2.0.0 tot 10.2.0.3). Ze hebben daarvoor alleen toegang nodig tot een 'alleen-lezen'-account.
Een voorbeeld van een exploit-code stond vorige week een dag lang op Metalink, de supportsite van Oracle. Vermoedelijk was een supportmedewerker niet helemaal op de hoogte van de veiligheidsrisico's. Oracle greep in en haalde de exploit eind vorige week offline.
De Duitse beveiligingsexpert Alexander Kornbrust vindt het ironisch dat Oracle zelf verantwoordelijk is voor de publicatie van de exploit. De databasefabrikant uitte voorheen altijd kritiek op beveiligingsonderzoekers die voor het verschijnen van een patch al met informatie kwamen. "Deze keer kunnen ze de schuld niet meer bij een ander leggen."
Kornburst heeft inmiddels een advisory op de Full Disclosure-lijst gepubliceerd. Oracle zegt momenteel aan een patch te werken. "We zijn op de hoogte van de informatie op de Full Disclosure-lijst", aldus een woordvoerster. "De problemen zullen worden geadresseerd in onze volgende Patch Update." Deze zal volgens de planning van Oracle verschijnen op 18 april.
Kornbrust gelooft niet dat de problemen op 18 april zijn opgelost. Hij adviseert gebruikers de work-arounds te volgen in zijn advisory.
