De kwetsbaarheid is het gevolg van 'stomme programmeerfouten', stelt Alexander Kornbrust, managing director van Red Database Security. "Oracle moet zijn ontwikkelteam bijspijkeren, want normaal moet je dit soort simpele veiligheidsproblemen voorkomen."

Kornbrust stelt dat de software onder meer kwetsbaar is voor SQL injectie. SQL is een soort scripttaal waarmee je een database kunt besturen. Als een applicatie kwetsbaar is voor SQL injectie betekent dat dat aanvallers in staat zijn om kwaadaardige code uit te voeren. Ook ontdekte de beveiligingsexpert een manier om de auditing-mogelijkheden in 11g te omzeilen. Dit kan de compliance van bedrijven ondermijnen. Kornbrust is vooralsnog niet van plan om de methode om de auditing-mogelijkheden te omzeilen, bekend te maken. Hij wil Oracle eerst de gelegenheid geven om het probleem op te lossen.

Het patchen van lekken in de databasesoftware van Oracle is geen sinecure. Oracle ondersteunt immers een groot aantal platforms en bij veel bedrijven speelt de software een belangrijke rol in de bedrijfsvoering. Als voorbeeld noemt Kornbrust een Duits bedrijf met 8.000 Oracle-databases. Het uitrollen van één patch kan 32.000 arbeidsuren kosten (vier uur per database). En dan wordt het testen van de patch voor elke database nog buiten beschouwing gelaten.

Bron: Techworld