Forskere finder fem fejl i Oracle

Artiklen blev oprindeligt publiceret den 18/2/2003

Sikkerhedsforskere har fundet fem sårbarheder i programmer fra Oracle. Den alvorligste kan give en angriber adgang til at få udført programkode.

De fleste af de nyopdagede sårbarheder kræver, at angriberen er oprettet som bruger på den maskine, han vil angribe. Men en sårbarhed i selve Oracle.exe-databaseprogrammet kan udnyttes af enhver udefrakommende angriber.

Sårbarheden består i, at programmet ikke kontrollerer længden af det brugernavn, angriberen opgiver. Det forårsager et bufferoverløb, der kan føre til, at angriberen får afviklet kode på maskinen.

Angrebet kan dog kun lykkes, hvis indlogningen går gennem et program, der heller ikke kontrollerer længden af brugernavnet.

Oracle har udgivet programrettelser (patches) til alle fejlene. Endnu er dog ikke alle platforme omfattet.

Sikkerhedsforskeren Mark Litchfield fra NGSSoftware, der fandt sårbarhederne, har rapporteret om dem på diskussionslisten Bugtraq.

Links

• Oracles liste over sårbarheder
• Mark Litchfields beskrivelse af sårbarheden med lange brugernavne
• Oracles information om samme sårbarhed (Adobe Acrobat-format)
• DK-CERTs beskrivelse af fire af sårbarhederne
• DK-CERTs beskrivelse af den femte sårbarhed