Oracle, sei buchi che vengono da lontano

Un ricercatore di scurezza tedesco ha criticato Oracle per aver ignorato sei vulnerabilitÓ da lui scoperte oltre due anni fa. Queste debolezze sono ora di pubblico dominio e potrebbero essere utilizzate per vari tipi di attacchi

Neunkirchen (Germania) - Alcuni prodotti di Oracle contengono una mezza dozzina di vulnerabilitÓ, tra cui almeno un paio piuttosto serie, ancora senza cura. A rivelarlo Ŕ il ricercatore di sicurezza tedesco Alexander Kornbrust, di Red-Database-Security, che a metÓ settimana ha pubblicato i dettagli di sei falle da lui scoperte in Oracle Forms e in Oracle Reports, due software integrati negli application server e nelle suite per sviluppatori Oracle 9i e 10g.

Kornbrust ha spiegato in questo advisory che le vulnerabilitÓ - di cui tre valutate ad alto rischio - possono consentire ad un cracker di eseguire attacchi di cross-site scripting, accedere a informazioni riservate, elevare i propri privilegi, sovrascrivere file a proprio arbitrio e, nel caso peggiore, guadagnare il pieno controllo di un sistema.

Kornbrust dice di essersi deciso a rendere le falle di pubblico dominio dopo che per due anni Oracle ha mancato di occuparsene. Il ricercatore tedesco sostiene infatti di aver segnalato le vulnerabilitÓ ad Oracle all'inizio del 2003: lo scorso aprile ha infine dato al colosso dei database un ultimatum, avvertendolo che se non avesse corretto i problemi nel prossimo aggiornamento di sicurezza li avrebbe resi pubblici. Cosý Ŕ stato: l'ultima megapatch di Oracle risale all'inizio del mese e, secondo l'esperto, non corregge le debolezze da lui scoperte.
Secunia, che in questa pagina riporta una sintesi delle vulnerabilitÓ, ha valutato il rischio complessivo come "moderato": nell'advisory raccomanda agli amministratori di restringere l'accesso ai server vulnerabili ai soli utenti fidati, filtrando le richieste per mezzo di un proxy o di un firewall.

Per il momento Oracle non ha ancora confermato l'esistenza delle vulnerabilitÓ, limitandosi a dire, per bocca di un proprio portavoce, di essere molto contrariata dal comportamento di Kornbrust.

"In Oracle prendiamo molto sul serio la sicurezza: la nostra prima prioritÓ Ŕ soddisfare le esigenze dei clienti e ridurre i loro rischi. Quando le vulnerabilitÓ vengono scoperte, Oracle risponde il pi¨ velocemente possibile: la nostra policy Ŕ quella di correggere le vulnerabilitÓ per ordine di gravitÓ", ha dichiarato Mary Ann Davidson, chief security officer di Oracle. "Noi crediamo che il modo migliore per proteggere i nostri clienti sia quello di evitare di divulgare o pubblicizzare le vulnerabilitÓ prima che sia stata sviluppata una patch o una soluzione".
TAG: sicurezza
10 Commenti alla Notizia Oracle, sei buchi che vengono da lontano
Ordina
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 6 discussioni)