Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 28/4/2006
En sikkerhedsforsker hævder, at et nyt angrebsprogram udnytter en sårbarhed i Oracle-databasen, som ikke er lukket.Angrebsprogrammet blev udsendt på mailinglisten Bugtraq den 19. april. Den 26. april skrev den kendte engelske sikkerhedsforsker David Litchfield et indlæg, hvori han forklarer, at programmet anvender en hidtil ikke-offentliggjort sårbarhed i Oracle.
Sårbarheden ligger i modulet DBMS_EXPORT_EXTENSION. Den giver en angriber mulighed for at oprette og køre et program i databasen.
David Litchfield oplyser, at han orienterede Oracle om sårbarheden den 19. februar. Alligevel var en rettelse til den ikke med i den samling, som Oracle udsendte i april.
Han gør opmærksom på, at det kun er den seneste sårbarhed i modulet. Han har orienteret Oracle om sårbarheder i det pågældende modul siden april 2004.