De uitdaging van Oracle-topman Larry Ellison dat diens applicatieserver Oracle 9i ‘onbreekbaar’ is, heeft geleid tot het kraken van de testsite.
Oracle heeft inmiddels al lapmiddelen voor het benutte beveiligingsgat. Het betreft een niet goed ingestelde buffer die door een kwaadwillende gebombardeerd kan worden totdat die overloopt.Daarna kan de dader op afstand commando’s uitvoeren op de bestookte machine.
De breedsprakige Ellison had vorige maand op de Comdex-beurs krakers uitgedaagd de 9i-software te kraken. Hiervoor had Oracle een speciale testsite opgezet. Debuffer overflow is ontdekt door David Litchfield van het Britse beveiligingsbedrijf Next Generation Security Software.
Voormalig kraker Marc Maiffret, tegenwoordig chief hacking officer van beveiligingsbedrijf e-Eye, zegt dat zijn programmeurs maar vier uur nodig hadden om enkele zwakke punten in 9i te ondekken. Deze stellen kwaadwillende in staat eendenial of service-aanval uit te voeren. e-Eye heeft het recente, grote gat in Windows XP ontdekt.
Oracle zegt dat het zo snel mogelijk heeft gereageerd op deze ontdekkingen. "We hebben direct informatie, lapmiddelen en alternatieve handelswijzen (workarounds – red.) uitgebracht die klanten kunnen toepassen."
