Una vulnerabilidad en Oracle sigue sin ser corregida después de 4 años

Escrito por Adrián Crespo
Seguridad
1

Una gran sorpresa se han llevado algunos expertos en seguridad cuando han comprobado que una vulnerabilidad que había sido detectada hace 4 años, todavía no ha sido corregida a día de hoy a pesar de los muchos parches que han salido con actualizaciones.

Según Oracle, la vulnerabilidad que fue llamada TNS Poison, ya ha sido resuelta el pasado mes con el lanzamiento de una nueva versión del producto. Sin embargo, un investigador afirma que para versiones anteriores del producto, el problema persiste, por lo que parece ser que ni en las actualizaciones se soluciona el problema, ya que como confirma el investigador, las versiones más allá de la de 2010 aún continúan sufriendo la vulnerabilidad.

En 2008 fue cuando se reportó el fallo de Oracle. En concreto, el fallo fue descubierto en las versiones comprendidas entre la 8i hasta la 11g Release 2, es decir, la última versión que se puede encontrar disponible en la página de la compañía. Oracle, además de reconocer el problema, acordó llevar a cabo una actualización no planificada para solucionar el problema.

El problema no va a ser solucionado

¿Qué es lo que se te pasaría por la cabeza si ves que un producto que utilizas tiene un problema y te dicen que no lo van a solucionar? Esa ha sido la respuesta de Oracle. La vulnerabilidad no va a ser resuelta ni ahora ni en futuras versiones. Parece ser que la solución a la vulnerabilidad, podría crear conflictos en la utilización de la herramienta.

Según el investigador que descubrió la vulnerabilidad, cree que Oracle esta cometiendo un grave error en no dar una solución a este problema

No serían necesarios credenciales para acceder a la base de datos

Cualquier persona externa, podrá realizar una captura de cualquier conexión que se haga a la base de datos sin tener que utilizar unos credenciales. Esto le permitiría además poder inyectar código malicioso a la base de datos.

Ante la magnitud del problema, es evidente la indignación que existe en la persona que descubrió el mismo, y no es para menos, ya que cualquiera puede hacer lo que quiera con la base de datos, gracias a esta vulnerabilidad.

Muchos piensan ya en alternativas

Muchos expertos comienzan a recomendar la utilización de otro productos ante la respuesta de Oracle, la cual, como comentábamos anteriormente, ha afirmado que no pondrá ninguna solución a dicho problema. Todavía no se ha llevado acabo ningún ataque utilizando esta vulnerabilidad, o por lo menos, que se haya podido saber.

Para el que no quiera cambiar de producto, recomiendan que se realice la desactivación de los registros remotos en el TNS Listener, poniendo la directiva “dynamic_registration = off‘” en el archivo listener.ora. Aunque aseguran, que no se trata de una solución válida para servidores que sostienen aplicaciones en tiempo real.

Todo esto tiene sus problemas, ya que a partir de ahora, si la aplicación hacía uso de esta función, será necesario que el administrador registre los servidores de forma manual.


Continúa leyendo
  • CárcelDePapel

    “… reportó el fallo…”, aunque la RAE acepta el americanismo reportar como sinónimo de informar, comunicar, en esta frase quedaría mejor el verbo detectar: “En 2008 fue cuando se detectó el fallo de Oracle”.

    “credencial” (cartas credenciales): FEMENINO –> “… necesariAs credenciales…” y “… unAs credenciales…”

    “persona externa”, yo preferiría “persona ajena” pero bueno.

    “llevar a cabo”, “llevar a cabo”, “llevar a cabo”, “llevar a cabo”, “llevar a cabo”… Sr. Crespo, esta es la segunda vez que le pillo en la misma falta y seguramente hay más. Me va a escribir unas quinientas veces “llevar a cabo” 😉