Oracle rådgiver om åbent hul

Artiklen blev oprindeligt publiceret den 1/5/2012

Oracle anbefaler brugere af firmaets databaser at ændre på opsætningen for at beskytte mod en alvorlig sårbarhed. For at gøre det muligt gør firmaet SSL gratis for nogle produkter.

Detaljer om sårbarheden blev kendt for nylig, da sikkerhedsforskeren som opdagede den fejlagtigt troede, at den var blevet lukket med den seneste samling rettelser fra Oracle. Det er den ikke. Oracle oplyser, at det vil være så svært at rette fejlen, at den kun vil blive rettet i en kommende version af databasen.

I mellemtiden anbefaler firmaet, at alle brugere af databaseproduktet følger en række råd om ændring af konfigurationen. De fjerner ikke sårbarheden, men skulle gøre det sværere at udnytte den.

Rådene kræver, at SSL (Secure Sockets Layer) er slået til. Hidtil har det kostet ekstra for visse produkter, men Oracle gør det nu gratis. Det gælder for Enterprise Edition Real Application Clusters (Oracle RAC) og RAC One Node såvel som Oracle Database Standard Edition når den bruges med Real Application Clusters.

En angriber kan udnytte sårbarheden over nettet uden at kende et password til databasen. Angriberen kan dermed få fuld kontrol over databasen.

Anbefaling
Følg anbefalingerne fra Oracle.

Links