Oracle vindt dat beveiligingsonderzoeker David Litchfiel de klanten in gevaar heeft gebracht door informatie over een veiligheidslek in de software naar buiten te brengen.
Litchfield liet tijdens de Black Hat Federal beveiligingsconferentie zien hoe kwaadwillenden een deel van de Oracle database over kunnen nemen door een module in de Apache Webserver van Oracle. Het bedrijf had dit lek tijdens de laatste patchronde moeten dichten, maar deed dat niet. "Wij zijn altijd teleurgesteld als onderzoekers lekken publiceren voordat er een patch voor is. Maar David Litchfield heeft onze klanten in gevaar gebracht", zegt senior director Duncan Harris in SecurityFocus.
Gisteren waarschuwde onderzoeksbureau Gartner ook al voor het gebruik van software van Oracle. Vorige week bracht de fabrikant verschillende patches uit waarmee in totaal 82 lekken worden gedicht. De hoeveelheid kritieke lekken baart Gartneranalist Rich Mogull zorgen. "Er zijn nog geen gevaarlijke exploits verschenen, maar dat wil niet zeggen dat dit nooit zal gebeuren", aldus Mogull.
Oracle gaf bij de release van de patches nauwelijks tot geen informatie over de aard van de lekken. Het verstrekken van zo weinig informatie heeft volgens Mogull geen zin. Ook zouden de patches moeilijk te gebruiken zijn en fouten bevatten.