Oracle bất ngờ tiết lộ lỗi bảo mật

Hãng chuyên doanh phần mềm cơ sở dữ liệu Oracle cuối tuần trước đã bất ngờ cung cấp chi tiết về một lỗ hổng bảo mật chưa được vá trong các sản phẩm của hãng.

Theo thông lệ thì Oracle thường hay giữ bí mật về các lỗi bảo mật cũng như tên tuổi các chuyên gia nghiên cứu đã phát hiện ra các lỗ hổng bảo mật trong các sản phẩm của Oracle. Tuy nhiên, Alexander Kornbrust - một chuyên gia chuyên nghiên cứu các vấn đề bảo mật của Oracle – cho biết, hôm 06/04 vừa qua, Oracle đã công bố chi tiết một lỗ hổng bảo mật chưa được vá.

Oracle đã khẳng định về việc bất ngờ cho công bố chi tiết lỗi bảo mật này. “Các thông tin có liên quan đến lỗ hổng bảo mật đã bất ngờ bị công bố,” một đại diện của Oracle cho biết. “Chúng tôi hiện đang điều tra về sự vụ này.”

Lỗ bảo mật được công bố lần này ảnh hưởng chủ yếu đến các phiên bản phần mềm cơ sở dữ liệu Oracle từ 9.1.0.0 đến 10.2.0.3 vận hành trên bất kỳ một phiên bản hệ điều hành nào.

Không chỉ cho công bố chi tiết về lỗi bảo mật mà trong đó còn có cả các đoạn mã để thử nghiệm lỗi bảo mật, Kornbrust cho biết.

Liên kết chỉ tới thông tin chi tiết về lỗi bảo mật này đã bị xoá bỏ. Nhưng khi đã được công bố cụ thể như thế thì chắc chắn các thông tin về lỗi bảo mật này đã được phổ biến rộng rãi.

“Mọi nhà phát triển và quản trị cơ sở dữ liệu chưa được biết đến các thông tin đã được công bố đó nên tìm hiểu thêm về lỗi bảo mật này nhằm tránh các nguy cơ bị khai thác tấn công và nên chờ đợi thêm một bản vá mới từ Oracle,” Kornbrust khuyến cáo.

Lỗi bảo mật này có thể bị khai thác để tăng quyền truy cập vào cơ sở dữ liệu. Đồng nghĩa với việc ngưởi sử dụng có quyền truy cập hạn chế vào cơ sở dữ liệu có thể lợi dụng lỗi bảo mật này để giành thêm quyền. “Phụ thuộc vào kiến trúc của ứng dụng, việc tăng quyền truy cập có thể cho phép mở cửa truy cập rộng hơn, thậm trí là có thể thay đổi dữ liệu – ví dụ là có thể thay đổi mật khẩu cơ sở dữ liệu,” Kornbrust cho biết.

Lỗi bảo mật này xuất phát từ một lỗi trong việc xử lý tác vụ “views” của một số người sử dụng có quyền truy cập hạn chế. Lỗi bảo mật này chỉ được xếp vào mức bình thường.

Oracle hiện chưa có bản vá nào sửa lỗi bảo mật này. Tuy nhiên, theo dự kiến bản vá lỗi bảo mật phát hành ngày hôm qua đã bao gồm bản vá lỗi này.

Hoàng Dũng