Virksomheder med en Oracle E-Business databaseserver bør omgående lukke et kritisk sikkerhedshul, som kan give fri adgang til databasen.
Sikkerhedshullet kan udnyttes af enhver med browseradgang til den server, der kører E-Business Suiten, oplyser Oracle i den advarsel, som selskabet i sidste uge udsendte til sine kunder.
Fra webbrowseren er det muligt at få ubegrænset adgang til at indsætte og udtrække data fra databasen ved at udforme specielle kommandolinjer i URL'en.
Har udsendt opdatering
Oracle har selv udsendt en advarsel til kunderne og en opdatering til softwaren, som lukker sikkerhedshullet.
Det danske sikkerhedsfirma Secunia betegner sikkerhedshullet som "meget kritisk", som er det næsthøjeste niveau.
Stephen Kost fra sikkerhedsfirmaet Integrity, som opdagede sårbarheden, advarer om, at alle Oracle E-Business-kunder, som har en database med webadgang er sårbare.
Oracle selv lægger heller ikke skjul på, at der er tale om en kritisk sårbarhed:
- Risikoen er høj. Enhver bruger med browseradgang og den rette viden kan udnytte denne sårbarhed, skriver Oracle i sin advarsel.
Oracle anbefaler derfor kraftigt kunderne til at sørge for at installere den opdatering, som Oracle har frigivet.
Relevant link fra Computerworld Online Sikkerhed
Oracle E-Business Suite uspecificerede SQL-indsættelsessårbarheder