In de Oracle9i applicatieserver en de Oracle9i databaseserver zijn veiligheidslekken gevonden. Dat meldt de online nieuwsdienst Eweek. Oracle heeft reeds een patch beschikbaar gesteld.
Het gaat om een kwetsbaarheid in Soap-berichten (simple object access protocol). De xml-code in die berichten bevat zorgvuldig gebouwde datatype definities, volgens Oracle. Soap is de basis van webdiensten, die daardoor ook kwetsbaar zijn.
Om gebruik te maken van het lek moet een kwaadwillende toegang hebben tot servers die Soap kunnen gebruiken. Vervolgens kan diegene de kwetsbaarheid gebruiken om een DoS (denial of service)-aanval uit te voeren op de database en de applicatieservers.
Gebruikers die Oracle9i Application Server Release 2, versie 9.0.2.1 en eerder hebben draaien, lopen het meeste risico, omdat de authenticatie voor Soap niet standaard staat ingesteld. De patch van Oracle is te downloaden vanaf de volgende site:http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=259556.1 (inlog vereist).
