Oracle heeft klanten gewaarschuwd voor de Heartbleed-bug in OpenSSL waardoor ook Oracle-producten risico lopen. De impact van het lek wordt echter met een magere 5 op een schaal van 10 beoordeeld. Het softwarebedrijf gebruikt het Common Vulnerability Scoring System om cijfers aan lekken toe te kennen.
Op deze manier weten beheerders welke kwetsbaarheden de hoogste prioriteit moeten krijgen. De Heartbleed-bug in OpenSSL zorgt ervoor dat aanvallers informatie uit het geheugen van een webserver kunnen stelen, zoals wachtwoorden en sessiecookies, maar ook de privésleutel van SSL-certificaten. De kwetsbaarheid wordt daarbij al 'in het wild' door aanvallers gebruikt om systemen aan te vallen.
Oracle erkent dat het lage cijfer van de Heartbleed-bug de problemen aangeeft om over één enkel systeem te beschikken dat alle soorten kwetsbaarheden kan beoordelen. "Het is eenvoudig om het lek zonder authenticatie over het internet gebruiken. Echter, een succesvolle exploit kan alleen de vertrouwelijkheid van een deel van de gegevens op het aangevallen systeem compromitteren", zegt Eric Maurice van Oracle.
Het zijn dan ook de verdere gevolgen die de grootste impact kunnen hebben. Een aanvaller zou privégegevens kunnen ontsleutelen die maanden of jaren geleden verstuurd zijn, laat Maurice verder weten. "Als gevolg veroorzaakt deze kwetsbaarheid grote risico's, waaronder ongeautoriseerde systeemtoegang met volledige gebruikersrechten." Oracle adviseert in de advisory dat beheerders de updates die de problemen verhelpen, zodra die beschikbaar zijn, meteen installeren.
Deze posting is gelocked. Reageren is niet meer mogelijk.