nyhed
Allerede i december blev der fundet fejl i Oracles database Oracle9i, men først nu er der kommet flere deltaljer frem om sikkerhedshullerne. En af fejlene indebærer, at en hacker kan få adgang til informationer i Oracles database-server uden at have brugernavn eller kodeord.
David Litchfield, som har fundet fejlene, vil formentlig afsløre endnu flere detaljer om fejlene på en sikkerhedskonference i morgen.
En hacker kan få adgang til databasen uden brugernavn og kodeord, og har dermed mulighed for at eksekvere funktioner. Det vil sige, at en hacker for eksempel kan slette informationer i databasen. Fejlen eksisterer både i Oracle9i og i Oracle8i uanset hvilket styresystem, der benyttes.
En anden fejl i database-softwaren gør det muligt at udføre Denial of Service (DoS) angreb på Oracle9i applikationsservere, som kører på Solaris 2.6, Windows NT og 2000 servere samt HP-UX 11.0 for 32-bit systemer.
Endnu en sårbarhed medfører, at hackere kan se kildeteksten af Java Server Pages (JSP), når de hentes fra Oracle9i applikationsservere. Disse filer indeholder ofte information som brugernavne og kodeord.
Rettelser til Oracle9i kan hentes på Oracles site.
