image

Oracle negeert ernstig beveiligingslek in database

vrijdag 9 november 2007, 12:14 door Redactie, 1 reacties

Een beveiligingslek in de database software van Oracle waar al een week een exploit voor beschikbaar is, zal pas over ruim twee maanden door de softwaregigant worden gepatcht. Tot die tijd worden bedrijven aangeraden om via intrusion detection systemen het verkeer in de gaten te houden en alleen maar betrouwbare werknemers toegang tot de database te geven. Via de kwetsbaarheid kan een aanvaller willekeurige code uitvoeren in de context van het database account.

Het lek vereist geen speciale privileges, en laat een aanvaller bijvoorbeeld gegevens lezen of manipuleren. Wel moet er een "geauthenticeerde sessie" met het systeem zijn.

Oracle werd op 1 februari van dit jaar ingelicht, maar zegt de patch tijdens de patchronde van 15 januari 2008 uit te geven. Vanwege het verschijnen van de exploit besloot iDefense, het bedrijf dat de kwetsbaarheid ontdekte, het publiek te waarschuwen. Ook Symantec heeft haar klanten inmiddels voor het lek gewaarschuwd.

Reacties (1)
10-11-2007, 00:06 door Anoniem
om welke sploit gaat het?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.