Oracle "quên" một lỗ hổng nghiêm trọng trong bản vá lỗi

Một lỗ hổng trong bản patch mới nhất của Oracle đã khiến cho người dùng Windows đang như ngồi trên đống lửa, họ phải đợi hai tuần nữa mới có thể nhận được bản vá lỗi, và trong thời gian đó, rất có thể tin tặc đã phá nát hệ thống của họ.

Thứ ba (17/4) vừa rồi, Oracle đã công bố bản vá lỗi phần mềm theo quý, trong đó không chỉ sửa lỗi trong cơ sở dữ liệu (CSDL) mà còn vá hàng loạt lỗi trong các ứng dụng khác. Tổng cộng đã có 36 lỗ hổng được sửa chữa, trong số này có 13 lỗ hổng liên quan tới CSDL.

Tuy nhiên, bản vá cho lỗ hổng CSDL nghiêm trọng nhất của quý này lại không có cho phiên bản Oracle 9.2.0.8 mà người dùng phải đợi tới ngày 30/4 tới do nhóm chuyên viên của Oracle không phát hiện ra vấn đề này trong quá trình thử nghiệm bản patch.

Lỗ hổng trên (DB01) nằm trong lõi Core RDBMS (hệ thống quản lý cơ sở dữ liệu liên quan) mà CSDL Oracle sử dụng. Tin tặc có thể khai thác lỗ hổng này từ xa và quan trọng hơn là không cần sự tương tác của người dùng.

Theo các chuyên gia bảo mật, lỗ hổng DB01 có thể dùng để shutdown và truy cập trái phép vào CSDL. Về lý thuyết, nó có thể cho phép chạy phần mềm bất hợp pháp trên máy chủ CSDL. Lỗ hổng DB01 được đánh giá là nghiêm trọng nhất trong số các lỗ hổng được vá trong bản tin bảo mật quý của Oracle.

Cũng trong bản tin bảo mật quý này, hàng loạt các ứng dụng Oracle được vá như: Application Server, Collaboration Suite, E-Business Suite, Enterprise Manager, và các ứng dụng của PeopleSoft và JD Edwards.