Beheer

Security

Oracles E-Business Suite bevat gapend lek

20 januari 2015
Systeembeheerders met Oracles E-Business Suite onder hun hoede moeten vandaag meteen aan de bak. De software bevat een zo stupide lek dat de ontdekker eerst dacht dat hij van doen had met een achterdeurtje dat door een hacker was aangebracht.

"Dit slaat echt alles", zei Oracle-deskundige David Litchfield tegen de Engelse website The Register, die hij op de hoogte bracht van zijn ontdekking. "Ik sta echt versteld. Ik hoop maar dat het een vergissing was; ik laat de samenzweringstheorieën over aan anderen."

Litchfield kwam het lek op het spoor bij een beveiligingstest bij een klant van hem. Het lek is zo eenvoudig te misbruiken dat het in eerste instantie niet bij Litchfield opkwam dat het een fout van Oracle was, zegt hij tegen The Register. Nader onderzoek leerde Litchfield dat het wel degelijk een fout van Oracle was.

Configuratiefout

Litchfield karakteriseert de fout als een 'groot misconfiguratiegebrek'. Een buitenstaander die weet hoe dat moet, kan daardoor heel simpel beheerdersrechten op de database achter de E-Business Suite krijgen.

Litchfield heeft naar eigen zeggen geen bevredigend antwoord van Oracle gekregen op zijn vraag hoe het mogelijk is dat er zo'n eenvoudig te misbruiken lek in hun software is geslopen. Het is inmiddels wel door Oracle verholpen. De patch maakt deel uit van de 167 patches die Oracle vandaag publiceert voor zijn verschillende producten.

Lees meer over
Lees meer over Beheer OP AG Intelligence
Reactie toevoegen