QR code per la pagina originale

Oracle: scoperte 42 gravi vulnerabilità

42 gravi vulnerabilità sono state segnalate al gruppo Oracle da Alexander Kornbrust del Red Database Security GmbH. I bug avrebbero grave pericolosità e permetterebbero di accedere ai database del gruppo in modalità admin. Si attendono conferme ufficiali

,

Per il gruppo Oracle arriva l’ennesimo allarme di sicurezza: 42 bug di notevole pericolosità (ma dei quali non sono ancora stati resi noti i dettagli tecnici) sarebbero infatti emersi internamente al sistema MetaLink. La scoperta è stata comunicata dal Red Database Security GmbH, gruppo che si occupa specificatamente di sicurezza dei prodotti Oracle.

Il gruppo non ha al momento confermato ufficialmente il problema, ma per via ufficiosa sarebbe emerso come alcune informazioni poco accurate sarebbero contenute nel report (la conferma, anche se indiretta, dunque c’è). Alexander Kornbrust, la firma che ha certificato la scoperta (non volontaria) del bug, promette maggiori dettagli entro la prossima settimana: le vulnerabilità emerse sono state immediatamente segnalate al gruppo Oracle per una immediata presa di coscienza della gravità del tutto e grande evidenza è stata posta sul fatto che nessuna delle vulnerabilità segnalate è stata contemplata dal recente aggiornamento distribuito dal gruppo.

Secondo quanto comunicato da eWeek il problema sarebbe simile ai noti hacking di Google: tramite una ricerca è infatti possibile risalire ad informazioni utili per l’exploit e molti database sarebbero dunque aperti al pericolo. Risulterebbe molto facile, infatti, scalare i permessi e presentarsi al database con permessi da amministratore (con ogni facoltà, dunque, anche di cancellazione o modifica dei contenuti).

Emblematico il fatto che le vulnerabilità emergano nel sistema MetaLink del quale il gruppo Oracle fa gran vanto in quanto punto di riferimento principale per l’assistenza online ai clienti del gruppo. Se Kornbrust ha segnalato 42 bug, è tuttavia vero che lo stesso Kornbrust ammette di non aver approfondito il problema e di aver fermato l’analisi per segnalare immediatamente ad Oracle il pericolo.