Oracle ruziet met onderzoeker over onofficiele patch
Databasegigant Oracle ligt in de clinch met een security onderzoeker vanwege een lek dat in oktober ontdekt werd, en nog steeds niet is gepatcht. David Litchfield schreef zelf een "work-around" voor het lek, maar Oracle waarschuwt haar klanten om deze oplossing niet te gebruiken, omdat het voor ernstige problemen kan zorgen.
Oracle heeft de afgelopen jaren verschillende patches voor het lek uitgebracht, maar het probleem is nog altijd niet opgelost. De fix van Lichfield was echter ook niet geschikt. "We weten dat het een aantal Oracle produkten hoger in de stack sloopt dan de Oracle Application Server waarin het lek aanwezig is" aldus een woordvoerder.
Het lek is aanwezig in Oracle Application Server, Oracle Internet Applications Server en Oracle HTTP Server. Het probleem zit hem in de PLSQL gateway, waardoor webgebruikers PLSQL applicaties in de back-end database server kunnen benaderen. De gateway stuurt een request van de gebruiker naar de database server en voert het daar uit.
"Iemand kan vanaf het internet zonder gebruikers ID of wachtwoord de back-end database server benaderen. Dit is zeer ernstig", aldus Litchfield. Toch heeft Oracle het lek in haar laatste patchcyclus niet gedicht, waardoor de onderzoeker zelf actie ondernam, tot grote ontevredenheid van Oracle.
Door het beschikbaar stellen van de work-around zouden hackers een begin hebben om het lek te misbruiken, hoewel Litchfield zelf geen details bekend heeft gemaakt. "Ja, we zijn zeer teleurgesteld dat hij de behoefte had om iets over dit lek bekend te maken voordat wij een patch beschikbaar hadden" aldus Duncan Harris van Oracle.
grenzen. Maar ze hebben wel een beetje gelijk... Litchfield
heeft er voor gezord dat men door reverse engineeren van
zijn patch het lek zou kunnen vinden.
Echter, dat is iets wat de gemiddelde scriptkid niet zo maar
even doet...
.... Litchfield
heeft er voor gezord dat men door reverse engineeren van
zijn patch het lek zou kunnen vinden.
...
Blijkbaar heeft die Litchfield of een ander, of 1000 anderen al op
de een of andere manier dat lek gevonden... anders zouden we
niet weten dat er een lek is... Dat die Litchfield dan een patch
maakt, nouja een workaround, er is wel verschil, vind ik dan
goed... heel goed zelfs. Wat jij zegt betekend dat elk bedrijf dat
zijn fouten patched een hacker leert (dmv reverse engineering
van die patch) het oude lek te kraken... A) ik denk dat dit niet
klopt. B) Als het al klopt, is het op het moment dat er een patch
is, een oud lek... Een oud lek dat gepatched is, is mijner inziens
geen lek meer. Zeker bij systemen van software giganten zoals
oracle die toch vrij specialistische databases bouwen mag je
ervan uit gaan dat de database-beheerder van een bedrijf waar
deze software wordt gebruik een vrij diepe kennis heeft van IT,
en die zal ook de patches goed in de gaten houden. Doet ie dat
niet, dan is het tijd voor herscholing. En natuurlijk 0-day exploits
blijven bestaan, maar dat zijn exploits waar nog geen patch of
work-around voor is, of in een erger geval, het bestaan van een
lek niet goed gecommuniceerd is naar de eindgebruiker toe.
My 2 cents.
machtspelletje is onder de makers,er moet toch geld verdient worden,wij
burgers trappen er allemaal in,langzamerhand zijn we allemaal onder
toezient oog van de hogere staf.
we worden en zullen altijd in de gaten gehouden worden,of je moet geen
mobieltje of internet of wat dan ook nemen,enige veilige is nog tam
tam,krijg je ook geen ellende.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.