Siden 11. februar har Oracle sendt ut fem sikkerhetsvarsler gjennom tjenesten Oracle Security Alerts. Det dreier seg om to sårbarheter i applikasjonsserveren 9iAS og fire oversvømbare buffere i selve databasen, både versjon 8 og 9, på forskjellige plattformer.
Igjen er det brødrene Mark og David Litchfield i selskapet NGSSoftware som krediteres oppdagelsen. De har tidligere gjort seg bemerket gjennom avsløringen av sårbarheten som Slammer-ormen utnyttet i Microsoft SQL-Server, og gjennom en avsløring av flere Oracle-sårbarheter i fjor da ”unbreakable”-kampanjen ble kjørt som verst.
Les også:
- Sikkerhetsekspert publiserte modell for Slammer-ormen (28.01.2003)
- Kritisk feil i Windows 2000 (02.08.2002)
- Oracle-brukere må tette 19 sikkerhetshull (19.03.2002)
Det er lagt ut fikser for alle sårbarhetene, og det anbefales sterkt å installere dem så fort råd er.
Diskusjonen på nettstedet Bugtraq tyder på at sårbarhetene er enda mer alvorlige enn det Oracle gir inntrykk av, og at angripere kan gå fra tjenestenekt til direkte innbrudd ved å kombinere flere av dem. En teori er at man kan utnytte en ufikset applikasjonstjener til å få kontroll over den, og deretter bore seg vei gjennom brannmuren og få kontroll over databasen.
