Vijesti za svakoga

Tvrtka Oracle pokušava kontrolirati štetu nastalu zbog ranjivosti uzrokovane takozvanim „zero-day“ propustom u proizvodu Database Server. Ranjivost je otkrio istraživač Joxean Koret koji je smatrao da je Oracle odmah ispravio navedeni propust jer je napadačima omogućavao presretanje podataka u komunikaciji između klijenta i baze podataka. Koret je originalno dojavio propust tvrtki Oracle u 2008. godini kao TNS trovanje slušača (eng. listener poisoning), ali nedostatak u prošle četiri godine nije bio uspješno ispravljen. Tvrtka Oracle je nedavno izdala sigurnosnu preporuku u kojoj objavljuje da je ranjivost moguće iskoristiti udaljeno bez autentikacije te potpuno kompromitirati ciljanu bazu podataka. Propust nažalost nije riješen programskom zakrpom nego je izdano zaobilazno rješenje. Sigurnosni stručnjaci tvrtke Oracle također objavili su CVSS (eng. Common Vulnerabuluty Scoring System) ocjenu od 7.5 dok istraživači izvan Oraclea daju ranjivosti najvišu ocjenu (10.0). Detaljan opis moguće je pronaći na stranicama portala ZD Net.