Tyske Red-Database-Security, som har spesialisert seg på sikkerheten i Oracles produkter, publiserte denne uken informasjon om flere "nye" sårbarheter. Det oppsiktsvekkende er likevel at sårbarhetene per i dag har vært kjent for selskapet i mellom 663 og 718 dager, uten å ha bli fikset.
Sårbarhetene skal eksistere i flere versjoner av Oracle Forms og Oracle Reports og karakteriseres av Secunia som moderat kritiske. Oracle Reports er en del av Oracle Application Server. Sårbarhetene skal også påvirke Oracle Internet Application Server og Developer Suite.
Sårbarhetene skal gjøre det mulig for ondsinnede å utføre cross site scripting, manipulering av data, avsløring av følsomme opplysninger, oppskalering rettighetene og å få systemadgang.
Red-Database-Security skriver det følgende i en kommentar om den nyeste av disse sårbarhetene:
It seems that Oracle is NOT INTERESTED to fix this issue and provide patches for this issue.
Ifølge TechWeb skal det tyske selskapet allerede for tre måneder siden ha fortalt Oracle at det nå ville publisere detaljer om sårbarhetene etter at Oracle hadde utgitt en sikkerhetsoppdatering denne måneden. Denne oppdateringen rettet ikke disse feilene, som nå er beskrevet på denne siden (datert 19. juli 2005).
Til Techweb opplyser Oracle at selskapet at det har som policy å rette de mest alvorlige sårbarhetene før man tar fatt på de som anses som mindre alvorlige.
Men Red-Database-Security mener tre av de seks sårbarhetene hver for seg utgjør en stor risiko.
I en uttalelse til Techweb skriver Oracle at selskapet mener at den mest effektive måten å beskytte selskapets kunder på, er å unngå å avsløre eller publisere sårbarheter inntil en patch eller annen løsning er blitt utviklet.
- Vi er skuffet når detaljer om sikkerhetssårbarheter i Oracle-produkter blir offentliggjort før patcher kan gjøres tilgjengelige, heter det i Oracles kommentar.
En beskrivelse av sårbarhetene på dansk er tilgjengelig her.