Oracle 11g mắc lỗi bảo mật “ngớ ngẩn”

Một chuyên gia bảo mật hôm 3/9 cho biết đã phát hiện được một lỗi lập trình “rất ngớ ngẩn” trong phần mềm cơ sở dữ liệu Oracle phiên bản 11g. Lỗi này có thể bị tin tặc lợi dụng để ăn trộm dữ liệu người dùng.

Trả lời phỏng vấn bên lề Hội nghị bảo mật Hack In The Box (HITB) đang được tổ chức tại Kuala Lumpur (Malaysia), ông Alexander Kornbrust - Giám đốc điều hành Red Database Security GmbH – cho biết: “Oracle thực sự đã nỗ lực cải tiến rất nhiều sản phẩm của hãng trong phiên bản 11g. Song tôi thực sự thấy ngạc nhiên trước những lỗi lập trình rất ngớ ngẩn tồn tại trong phiên bản này.”

“Tôi cho rằng Oracle cần phải đào tạo lại đội ngũ lập trình viên của họ nhằm tránh lập lại những lỗi ngớ ngẩn này một lần nữa”.

Phía Oracle hiện chưa có bất kỳ bình luận nào về thông này.

Kornbrust cho biết ông đã tìm được phương thức qua mặt tính năng kiểm soát (auditing capacity) của Oracle 11g và một số phiên bản khác. Những lỗi này hoàn toàn có thể “đào mồ chôn” mọi nỗ lực bảo mật cơ sở dữ liệu. Ngoài ra còn khá nhiều lỗi SQL Injection khác cũng được phát hiện trong Oracle.

Trong số này thực sự có một số lỗi bắt nguồn trực tiếp từ những trục trặc trong kiến trúc cơ sở dữ liệu Oracle. Dự kiến Kornbrust sẽ trình bày một số lỗi bảo mật Oracle tại hội nghị HITB, trong đó ông cũng sẽ trình diễn cụ thể chứng minh trục trặc trong kiến trúc Oracle có thể bị lợi dụng như thế nào để qua mặt giải pháp bảo mật. Tuy nhiên, chuyên gia này từ chối tiết lộ thông tin chi tiết lỗi cũng như cách thức khai thác.

Kornbrust cho rằng việc khắc phục các lỗi bảo mật trong cơ sở dữ liệu Oracle hiện tương đối chậm chạp và tiêu tốn nhiều chi phí bởi Oracle đóng một vai trò rất quan trọng trong hệ thống mạng IT của doanh nghiệp, đặc biệt là doanh nghiệp lớn. Không những thế Oracle còn phải phát hành bản vá lỗi cho từng phiên bản phần mềm riêng biệt.

Hoàng Dũng