Oracle kan gevaarlijk lek in bestaande databases niet dichten (1 mei)

De beschikbare versies van Oracles databases bevatten een lek waarlangs een hacker zich van buitenaf toegang kan verschaffen tot de inhoud van de database. Erger nog: de ontdekker van het lek kreeg de indruk dat Oracle dat lek in zijn laatste patchronde had gedicht, en publiceerde vervolgens details van zijn vinding die het hackers makkelijker maken er gebruik van te maken. Terwijl Oracle het lek niet durft te dichten.

Het lek werd in 2008 (!) ontdekt en aan Oracle gerapporteerd door de Spanjaard Joxean Koret. Het probleem schuilt in de mogelijkheid om een 'man in the middle'-aanval op te zetten via de zogeheten Transparent Network Substrate Listener, die de verbindingen tussen de database server en de eindgebruikers verzorgt. Koret noemt het lek daarom de Oracle TNS Poison-kwetsbaarheid

Oracle maakte bij zijn jongste patchronde melding van deze kwetsbaarheid, en Koret trok daaruit de conclusie dat het lek eindelijk gedicht was. Dat gaf hem de vrijheid om details te publiceren van de Oracle TNS Poison-kwetsbaarheid. Maar bij die actie kreeg hij al snel bedenkingen, toen hij een mailtje kreeg van Oracle met nadere informatie: het lek was gedicht in toekomstige versies van de Oracle database, stond daarin.

Lek blijkt alleen gedicht in toekomstige versies van de Oracle-database
Uit de e-mailwisseling die daarop volgde begreep Koret al snel dat het lek helemaal niet gedicht was. 'We hebben de moeilijke beslissing moeten nemen om het probleem in de versie op te lossen, en niet in de Critical Patch Update', liet Oracle weten, omdat de oplossing voor het probleem zeer complex is. Het invlechten van die patch in bestaande databases zou zeer veel risico's opleveren voor de stabiliteit van de database - en onze klanten hebben ons uitdrukkelijk verzocht om dergelijke patches niet via het Critical Patch Update-proces te verspreiden, begreep Koret uit zijn e-mailwisseling met Oracle. Dat betekent dat het lek in de bestaande versies van de Oracle-database van 81 tot en met 11G R2 - blijft zitten, concludeert Koret.

Oracle geeft dat niet met zoveel woorden toe, maar uit een beveiligingswaarschuwing die het inmiddels heeft gepubliceerd blijkt wel dat Korets conclusie gerechtvaardigd is. Het lek is volgens die tekst in de 'main code line' verholpen, waarmee Oracle kennelijk de ontwikkelversie van de volgende uitvoering van zijn database aanduidt, maar terugploegen in de bestaande installaties van zijn database staan niet op het programma.

Risico op misbruik Oracle TNS Poison-lek is wel te verminderen
Beheerders van Oracle-databases kunnen wel maatregelen nemen om het risico dat het lek gebruikt wordt te verminderen. Oracle adviseert om dat zonder uitstel te doen. Ook Koret had bij zijn melding van de details van het lek al enkele tips gegeven om het risico op misbruik te verminderen.

Bron: AutomatiseringGids