Oracle ruziet met onderzoeker over onofficiele patch
Databasegigant Oracle ligt in de clinch met een security onderzoeker vanwege een lek dat in oktober ontdekt werd, en nog steeds niet is gepatcht. David Litchfield schreef zelf een "work-around" voor het lek, maar Oracle waarschuwt haar klanten om deze oplossing niet te gebruiken, omdat het voor ernstige problemen kan zorgen.
Oracle heeft de afgelopen jaren verschillende patches voor het lek uitgebracht, maar het probleem is nog altijd niet opgelost. De fix van Lichfield was echter ook niet geschikt. "We weten dat het een aantal Oracle produkten hoger in de stack sloopt dan de Oracle Application Server waarin het lek aanwezig is" aldus een woordvoerder.
Het lek is aanwezig in Oracle Application Server, Oracle Internet Applications Server en Oracle HTTP Server. Het probleem zit hem in de PLSQL gateway, waardoor webgebruikers PLSQL applicaties in de back-end database server kunnen benaderen. De gateway stuurt een request van de gebruiker naar de database server en voert het daar uit.
"Iemand kan vanaf het internet zonder gebruikers ID of wachtwoord de back-end database server benaderen. Dit is zeer ernstig", aldus Litchfield. Toch heeft Oracle het lek in haar laatste patchcyclus niet gedicht, waardoor de onderzoeker zelf actie ondernam, tot grote ontevredenheid van Oracle.
Door het beschikbaar stellen van de work-around zouden hackers een begin hebben om het lek te misbruiken, hoewel Litchfield zelf geen details bekend heeft gemaakt. "Ja, we zijn zeer teleurgesteld dat hij de behoefte had om iets over dit lek bekend te maken voordat wij een patch beschikbaar hadden" aldus Duncan Harris van Oracle.
grenzen. Maar ze hebben wel een beetje gelijk... Litchfield
heeft er voor gezord dat men door reverse engineeren van
zijn patch het lek zou kunnen vinden.
Echter, dat is iets wat de gemiddelde scriptkid niet zo maar
even doet...
.... Litchfield
heeft er voor gezord dat men door reverse engineeren van
zijn patch het lek zou kunnen vinden.
...
Blijkbaar heeft die Litchfield of een ander, of 1000 anderen al op
de een of andere manier dat lek gevonden... anders zouden we
niet weten dat er een lek is... Dat die Litchfield dan een patch
maakt, nouja een workaround, er is wel verschil, vind ik dan
goed... heel goed zelfs. Wat jij zegt betekend dat elk bedrijf dat
zijn fouten patched een hacker leert (dmv reverse engineering
van die patch) het oude lek te kraken... A) ik denk dat dit niet
klopt. B) Als het al klopt, is het op het moment dat er een patch
is, een oud lek... Een oud lek dat gepatched is, is mijner inziens
geen lek meer. Zeker bij systemen van software giganten zoals
oracle die toch vrij specialistische databases bouwen mag je
ervan uit gaan dat de database-beheerder van een bedrijf waar
deze software wordt gebruik een vrij diepe kennis heeft van IT,
en die zal ook de patches goed in de gaten houden. Doet ie dat
niet, dan is het tijd voor herscholing. En natuurlijk 0-day exploits
blijven bestaan, maar dat zijn exploits waar nog geen patch of
work-around voor is, of in een erger geval, het bestaan van een
lek niet goed gecommuniceerd is naar de eindgebruiker toe.
My 2 cents.
machtspelletje is onder de makers,er moet toch geld verdient worden,wij
burgers trappen er allemaal in,langzamerhand zijn we allemaal onder
toezient oog van de hogere staf.
we worden en zullen altijd in de gaten gehouden worden,of je moet geen
mobieltje of internet of wat dan ook nemen,enige veilige is nog tam
tam,krijg je ook geen ellende.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
