De nieuwste kwartaalpatch van Oracle die onlangs is aangekondigd verschijnt naar verwachting eind deze maand. De hoofdmoot van de patch richt zich op Sun-servers. Kwetsbaarheden in PeopleSoft, MySQL en Solaris worden ook aangepakt.

Een gevaarlijke 0-day bug die in april bekend werd, is niet verholpen. Oracle kondigt aan ook in de toekomst geen patch uit te zullen brengen die het probleem aanpakt. De ontdekker meldde naar eigen zeggen de bug al in 2008 aan Oracle, maar pas in 2012 had het bedrijf een handmatige oplossing voorhanden.

Geen credentials nodig

In totaal worden vijf fouten in de Oracle Database Server aangepakt met de patch. Vier van deze kwetsbaarheden die nu gedicht worden, kunnen worden gebruikt door aanvallers zonder dat ze daarvoor een loginnaam en wachtwoord nodig hebben.

Ook voor de TNS Listener Poison Attack heeft een hacker geen credentials nodig om databaseverkeer te onderscheppen. Door een bug kan een man-in-the-middle-aanval uitgevoerd worden, waarmee het verkeer tussen de database en clients onderschept wordt. De databasefout is een 0-day bug waardoor aanvallers het lek kunnen misbruiken in alle versies van Oracle Database Server die het bedrijf sinds versie 8i uitbracht.

Lek handmatig dichten

Door de bug kunnen hackers een query naar de server sturen, waardoor ze alle communicatie van de database naar legitieme gebruikers onderscheppen. Oracle raadt gebruikers aan het lek af te dichten via handmatige configuratie en heeft daarvoor in april een advies uitgedaan.

Een anonieme bron bij de softwareleverancier wist al eerder aan Ars Technica te melden dat de 0-day niet gepatcht kan worden. “De fix kunnen we niet backporten, omdat hij ontzettend complex is en het risico op regression groot is", meldde de bron aan de technologiesite. Bij regression kan een verandering in de software ervoor zorgen dat andere delen van de database worden beïnvloed en onverwachte waarden uitgeven.