Oracles E-Business Suite bevat gapend lek
Litchfield kwam het lek op het spoor bij een beveiligingstest bij een klant van hem. Het lek is zo eenvoudig te misbruiken dat het in eerste instantie niet bij Litchfield opkwam dat het een fout van Oracle was, zegt hij tegen The Register. Nader onderzoek leerde Litchfield dat het wel degelijk een fout van Oracle was.
Configuratiefout
Litchfield karakteriseert de fout als een 'groot misconfiguratiegebrek'. Een buitenstaander die weet hoe dat moet, kan daardoor heel simpel beheerdersrechten op de database achter de E-Business Suite krijgen.
Litchfield heeft naar eigen zeggen geen bevredigend antwoord van Oracle gekregen op zijn vraag hoe het mogelijk is dat er zo'n eenvoudig te misbruiken lek in hun software is geslopen. Het is inmiddels wel door Oracle verholpen. De patch maakt deel uit van de 167 patches die Oracle vandaag publiceert voor zijn verschillende producten.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee