Neunkirchen (Germania) – Alcuni prodotti di Oracle contengono una mezza dozzina di vulnerabilità, tra cui almeno un paio piuttosto serie, ancora senza cura. A rivelarlo è il ricercatore di sicurezza tedesco Alexander Kornbrust, di Red-Database-Security , che a metà settimana ha pubblicato i dettagli di sei falle da lui scoperte in Oracle Forms e in Oracle Reports, due software integrati negli application server e nelle suite per sviluppatori Oracle 9i e 10g.
Kornbrust ha spiegato in questo advisory che le vulnerabilità – di cui tre valutate ad alto rischio – possono consentire ad un cracker di eseguire attacchi di cross-site scripting, accedere a informazioni riservate, elevare i propri privilegi, sovrascrivere file a proprio arbitrio e, nel caso peggiore, guadagnare il pieno controllo di un sistema.
Kornbrust dice di essersi deciso a rendere le falle di pubblico dominio dopo che per due anni Oracle ha mancato di occuparsene. Il ricercatore tedesco sostiene infatti di aver segnalato le vulnerabilità ad Oracle all’inizio del 2003: lo scorso aprile ha infine dato al colosso dei database un ultimatum, avvertendolo che se non avesse corretto i problemi nel prossimo aggiornamento di sicurezza li avrebbe resi pubblici. Così è stato: l’ultima megapatch di Oracle risale all’inizio del mese e, secondo l’esperto, non corregge le debolezze da lui scoperte.
Secunia, che in questa pagina riporta una sintesi delle vulnerabilità, ha valutato il rischio complessivo come “moderato”: nell’advisory raccomanda agli amministratori di restringere l’accesso ai server vulnerabili ai soli utenti fidati, filtrando le richieste per mezzo di un proxy o di un firewall.
Per il momento Oracle non ha ancora confermato l’esistenza delle vulnerabilità, limitandosi a dire, per bocca di un proprio portavoce, di essere molto contrariata dal comportamento di Kornbrust.
“In Oracle prendiamo molto sul serio la sicurezza: la nostra prima priorità è soddisfare le esigenze dei clienti e ridurre i loro rischi. Quando le vulnerabilità vengono scoperte, Oracle risponde il più velocemente possibile: la nostra policy è quella di correggere le vulnerabilità per ordine di gravità”, ha dichiarato Mary Ann Davidson, chief security officer di Oracle. “Noi crediamo che il modo migliore per proteggere i nostri clienti sia quello di evitare di divulgare o pubblicizzare le vulnerabilità prima che sia stata sviluppata una patch o una soluzione”.