El parche no toma en cuenta instalaciones anteriores.
Una vulnerabilidad crítica al sistema de base de datos Oracle permanece sin corrección a cerca de 4 años de haber sido revelada, dice el investigador que la descubrió.
Oracle argumenta haber parchado en abril la vulnerabilidad denominada TNS Poison, detectada hace tiempo, sin embargo el investigador de seguridad Joxean Koret dijo que la solución no cubre versiones anteriores del producto.
En 2008, Koret reportó la falla al programa caza recompensas de iSight Partners, el cual compartió los detalles con Oracle de acuerdo con las especificaciones del programa de recompensas. Posteriormente publicó una prueba de concepto para la falla que afecta las versiones 8i a 11g Release 2, la última versión disponible.
Oracle reconoció el problema en su actualización trimestral de seguridad liberada este mes y dio crédito a Koret por la identificación en su programa "Security-In-Depth".
Sin embargo, un intercambio de correos publicado por Koret indican que Oracle decidió no parchar la falla en versiones ya existentes de su producto de base de datos debido a que la solución podría causar problemas de desempeño para los usuarios.
En su lugar, Oracle atendió la vulnerabilidad solo en versiones internas de desarrollo, dijo Koret, haciendo notar que la compañía no ha revelado qué versiones recibirán la solución.
Koret dijo a SC Magazine US que los atacantes podrían explotar el TNS Poison para "capturar cualquier conexión" hecha a la base de datos sin la necesidad de credenciales y de esta forma inyectar comandos maliciosos.
"En pocas palabras, pueden hacer lo que sea", dijo, agregando que él no tiene conocimiento de ningún intento de ataque hasta el momento. Oracle no respondió a la solicitud de réplica de SC Magazine.
La falta de un parche para versiones anteriores podría indicar que Oracle no considera la vulnerabilidad tan seria como Koret.
De acuerdo a Oracle: "Las personas son reconocidas por sus contribuciones a Security-In-Depth si proveen alguna información, observación o sugerencias concernientes a problemas de vulnerabilidad de seguridad que resulten en una modificación significativa del código o documentación de Oracle en futuros lanzamientos, pero que no son de una naturaleza tan crítica que se distribuyan en las actualizaciones de parches críticos".
Alex Rothacker, director de análisis de seguridad para el equipo SHATTER de Application Security Inc. de corroboró la versión de Koret, y dijo que los administradores de bases de datos deberían considerar soluciones alternas a falta de una reparación permanente.
"Desabilitar registros remotos en el TNS Listener con la directiva 'dynamic_registration = off' en el archivo listener.ora, después reiniciar el listener" dijo.
"De cualquier forma, si su instalación está usando esta característica, necesitará asegurarse de ahora en adelante de registrar manualmente todos los servidores legítimos. Aunque tampoco es una medida válida para soluciones del tipo RAC (Real Application Clusters)".
"Otra solución es utilizar un chequeo válido de nodos, Aunque esta propuesta no es totalmente segura pues el ataque podría darse desde un cliente válido".
Fuente: itNews LS
Visto en www.seguridad.unam.mx/
No hay comentarios:
Publicar un comentario