Seguridad

Localizan dos fallos críticos en servidores Oracle

Existen dos vulnerabilidades en algunos paquetes de bases de datos de Oracle que permitirían a un atacante acceder a un servidor remoto sin contraseña, ver el sistema de archivos del servidor y volcar archivos arbitrarios, según la investigadora Dana Taylor.

Oracle

La investigadora de seguridad Dana Taylor ha informado en su blog del hallazgo de dos vulnerabilidades de seguridad en servidores de Oracle, que, si bien fueron descubiertas hace años, no han sido solucionadas convenientemente.

 

La primera vulnerabilidad, que afecta a Oracle Forms and Reports 10g y 11g, y posiblemente a versiones más antiguas, permite a un atacante volcar la lista de contraseñas de la base de datos sin necesidad de autenticación. Dana Taylor asegura que informó del asunto a Oracle en abril de 2011, pero el equipo de respuesta de seguridad de la empresa le dijo que no lo consideran una vulnerabilidad real, sólo un error de configuración.

 

Poco después, la investigadora descubrió una segunda vulnerabilidad aún más preocupante, ya que permitía ver el sistema de archivos del servidor desde un navegador no autenticado, volcar cualquier archivo al que la cuenta de Oracle tenga acceso y realizar otras acciones no deseadas en el servidor y la red. Taylor volvió a informar a Oracle del nuevo hallazgo en octubre de 2011, y también les recordó la vulnerabilidad inicial descubierta unos meses antes, asegurándoles que estaba considerando la posibilidad de divulgar públicamente los problemas, ya que Oracle no los consideraba vulnerabilidades.

 

Finalmente, Oracle respondió reconociendo la vulnerabilidad, y posteriormente publicó un parche que, según la investigadora, no la soluciona. “Lo he probado la última versión de Weblogic / Oracle Reports 11g, y todavía existe la vulnerabilidad, que no sólo afecta a 11 g, sino a las versiones 9i en adelante”, afirma Dona Taylor.

 

Oracle finalmente publicó un parche para la versión 11.x, pero sólo soluciones temporales a las versiones anteriores, lo que sugiere a los clientes que actualicen a versiones más recientes con el fin de protegerse a sí mismos.



TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper