Oracle kører i øjeblikket en annoncekampagne, der beskriver firmaets produkter som "unbreakable". Det er måske en sandhed med modifikationer - det skal ihvertfald ikke forstås sådan, at Oracle-software er fri for fejl.
Sikkerhedsfirmaet Next Generation Security Software (NGSS) har netop udsendt beskrivelser af tre sårbarheder i Oracle's programmer, hvoraf det ene sikkerhedshul kan give en hacker næsten ubegrænset adgang til systemet over internet.
Den mest alvorlige sårbarhed, "Oracle Remote Compromise", betyder at en hacker kan koble sig ind i den kommunikation, der foregår mellem Oracle-databasen og PL/SQL-programmeringsinterfacet.
Ved at indsætte sine egne kommandoer kan hackeren udføre aktioner på serveren med de rettigheder, som er tildelt Oracle-databasen - på Windows-systemer er det typisk fuld adgang på system-niveau.
NGSS anbefaler at Oracle-administratorer sørger for at deres databaser ikke lytter efter kommandoer på TCP port 1521, som er hackerens nemmeste vej ind i systemet.
Det britiske sikkerhedsfirma har også fundet en fejl i Oracle's håndtering af Java Server Pages (JSP), som kan give adgang til filernes kildetekst - og dermed brugernavne, kodeord og andre informationer, der måtte være gemt i koden.
Den sidste sårbarhed er en klassisk "buffer-overflow" i PL/SQL-modulet til Apache, der kan misbruges til at overtage kontrollen over serveren.
Oracle er klar med patches til to af de tre sikkerhedshuller.
Links:
(Kilde: NewsBytes)
