Tempo di aggiornamenti per Oracle. Per la precisione, martedì 20 gennaio sono state rilasciate ben 169 patch per altrettanti problemi di vulnerabilità in centinaia di prodotti, compresa una fragilità nella E-Business Suite. Questo aspetto ha assillato in modo particolare i responsabili della sicurezza dei database: una falla nel pacchetto pensato per le aziende avrebbe potuto dare libero accesso a informazioni sensibili.
Come riportato dal sito PcWorld, il problema è stato scoperto quasi per caso nel 2014 da David Litchfield su un sistema client. La vulnerabilità, scambiata inizialmente per una backdoor lasciata da un attacco hacker, si è rivelata poi qualcosa di molto più serio. Il comunicato ufficiale di Oracle sull’aggiornamento trimestrale rivela che, con la patch, saranno sistemate dieci vulnerabilità nel pacchetto E-Business. Sei di queste potrebbero essere sfruttate da remoto. L’azienda statunitense assegna a queste falle un punteggio di 6,4 su 10 nel Common Vulnerability Scoring System (Cvss): la scala ufficiale che misura la gravità di questo genere di problemi.
Lo stesso Litchfield, però, sottolinea che questa falla consentirebbe a un hacker di lanciare comandi Slq come Sys: il massimo livello di privilegio consentito in un database. La E-Business Suite assegna effettivamente di default un valore Index ed eseguire comandi Sql come Sys potrebbe dare ai malintenzionati un effettivo vantaggio, permettendo loro di leggere tutte le informazioni presenti nel database.