Firma Oracle udostępniła dwie łatki programowe uszczelniające luki w systemie bezpieczeństwa bazy danych Oracle 9i. Pozwalają one na przejmowanie kontroli nad systemem lub na wykonanie w nim własnego kodu.

Bardziej poważną z nich jest usterka w komponencie Net Listener, który „nadsłuchuje” zleceń kierowanych do bazy danych pochodzących od strony klienckiej. Luka związana z efektem przepełnienia bufora pozwala atakującemu na nadpisanie pamięci przydzielonej dla aplikacji i wykonanie w ten sposób kodu w kontekście ochronnym bazy danych. Luka ta może być wykorzystana przy zdalnym dostępie do bazy danych i dotyczy wszystkich wydań wersji 9 lub 9i, pracujących na platformach Windows i VM.

Zobacz również:

• Najnowsza baza danych Oracle została wzbogacona o kolejne funkcje AI

Usterka druga jest także związana z efektem przepełnienia bufora, tym razem w module 9iAS Report Server. Wykorzystując efekt przepełnienia bufora napastnik może wykonać własny kod w kontekście ochronnym tego serwera, który jest często kontekstem ochronnym systemu lokalnego na platformie Windows. Usterka dotyczy Oracle 9iAS Report Server 1.0 (nie dotyczy wersji 2.0) oraz dowolnego produktu Oracle zawierającego Report Server 6.0.8.18.0 i starsze.

W 2001 r. firma Oracle w ramach kampanii marketingowej zapewniała, że jej produkty są „ nie do złamania przez hakerów”. Mimo tego w oprogramowaniu firmy wykryto jednak luki w zakresie bezpieczeństwa.