image

Noodpatch voor zeer ernstig Oracle-lek

zondag 7 februari 2010, 12:18 door Redactie, 2 reacties

Oracle heeft een noodpatch uitgebracht voor een zeer ernstig zero-day lek dat tijdens de Black Hat conferentie werd onthuld. Via de kwetsbaarheid in het Node Manager onderdeel van de Oracle WebLogic Server, kan een aanvaller via het internet en zonder gebruikersnaam of wachtwoord volledige controle over het systeem krijgen. Of zoals Oracle zegt: "de beschikbaarheid, betrouwbaarheid en vertrouwelijkheid van het systeem beïnvloeden." Met name gebruikers van Windows met WebLogic Server versie 9.0 en nieuwer moeten zich zorgen maken, het lek krijgt met deze combinatie een maximale CVSS score van 10,0.

Draait de software op Linux of Unix, dan is het lek minder ernstig van aard en krijgt het een 7,5 als score. In het geval van WebLogic Server 7.0 en 8.1 is de kans op misbruik met een score van 5,0 veel lager. De update en aanvullende informatie is via deze advisory te vinden. Oracle hanteert een patchcyclus van drie maanden, waarbij de volgende rond pas voor 13 april gepland staat.

Plaaggeest
Het lek werd gevonden door Oracle's eeuwige plaaggeest David Litchfield. Tien jaar lang wist hij talloze kwetsbaarheden in de database-software te ontdekken, maar voorlopig houdt hij het voor gezien. Litchfield heeft zijn baan bij NGS Software opgezegd en gaat de komende tijd wat duiken. De reden voor zijn fervente onderzoek was de opmerking van Oracle baas Larry Ellison dat de software niet te kraken was. "Dat werkte als een rode lap voor een stier", zo liet de onderzoeker tijdens zijn presentatie weten.

Wat betreft de veiligheid van Oracle zijn dingen volgens Litchfield wel beter geworden. "Ze hoeven niet opnieuw te beginnen, maar alleen dingen aan te passen." Zo is het aantal lekken met 35% afgenomen en zijn ze minder ernstig van aard. Toch had Oracle het laatste lek dat Litchfield ontdekte zelf kunnen vinden, als het bedrijf een secure development life cycle had toegepast, zo luidde de laatste woorden van de onderzoeker.

Reacties (2)
07-02-2010, 19:16 door Anoniem
dus het is wachten tot 13 april ???!!!
07-02-2010, 23:23 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.