Oracle heeft per ongeluk details over een beveiligingsgat in zijn database én demonstratie-code voor misbruik daarvan naar buiten gebracht. Dit bevestigt Oracle in reactie op uitspraken van expert Alexander Kornburst.
Onderzoeker Kornbrust is gespecialiseerd in de beveiliging van Oracle-databases en meldde op zijn website dat het bedrijf informatie over het ongepatchte gat publiceerde. Oracle deed dat op zijn klantenwebsite MetaLink, maar weet nog niet hoe de informatie daar terecht is gekomen. De site is vrijdag al aangepast, maar volgens Kornbrust is het nu te laat. Oracle zou de informatie juist moeten laten staan, mede doordat er nog geen patch beschikbaar is voor het gat.
De fout is aanwezig in versies 9.1.0.0 tot 10.2.0.3 van de Oracle-database. Kwaadwillenden kunnen via dit gat hun rechten als database-gebruiker vergroten om dan data te kunnen toevoegen, verwijderen of wijzigen.
