Xuất hiện đoạn mã nguy hiểm khai thác lỗi Oracle

Phần mềm cơ sở dữ liệu Oracle 10g - cả phiên bản đã cài đặt bản vá lỗi mới ban hành của nhà phát triển lẫn chưa cài đặt bản vá - đều có nguy cơ bị tấn không khi mà trên Internet mới xuất hiện đoạn mã nguy hiểm nhằm khai thác một lỗi bảo mật trong ứng dụng này.

Đoạn mã nguy hiểm này đã được “phát tán” thông qua danh sách thư (mailing list) Full Disclosure ngày thứ 5 tuần trước.

Tuy nhiên, David Litchfield, chuyên gia nghiên cứu bảo mật của Next Generation Security Software Ltd., cho biết đoạn mã này tuy nguy hiểm nhưng lại “khá hiền lành” khi mà nó chỉ có nhiệm vụ phá hỏng hệ thống máy chủ chạy ứng dụng cơ sở dữ liệu Oracle 10g chứ không cho phép thực thư bất kỳ một đoạn mã nhị phân thực thi các cú pháp lệnh nguy hiểm – như ăn cắp dữ liệu chẳng hạn.

Đoạn mã này chủ yếu nhắm vào khai thác lỗ hổng bảo mật tràn bộ nhớ đệm trong thủ tục sys.pbsde.init của Oracle 10g. Đoạn mã này sử dụng chuỗi “Mary Ann Davidson” – tên của kỹ sư trưởng phụ trách bảo mật của Oracle - lặp đi lặp lại liên tục nhằm tạo ra lỗi tràn bộ nhớ đệm trong phần mềm.

Lỗi này có thể bị khai thác bởi cả những người cùng nằm trong hệ thống mạng nội bộ sử dụng Oracle 10g hoặc bị tấn công từ xa bằng cách đoạt quyền truy nhập qua module PL/SQL của máy chủ Apache.

Để vá lỗ hổng bảo mật này, Litchfield khuyến cáo người sử dụng nên bổ sung thêm một loại trừ trong module PL/SQL cho phép ứng dụng từ chối mọi yêu cầu thực thi đoạn mã tấn công thông qua ứng dụng máy chủ (Application Server).