Descubren fallo de seguridad en Oracle Database

De acuerdo con el alerta de seguridad que publicó Oracle esta mañana, prácticamente todas las versiones de su reconocido software de bases de datos publicadas en los últimos 13 años, presentan un fallo de seguridad que permitiría monitorizar las conexiones a los servidores y hasta introducir malware en ellos. Para colmo, la compañía estudia efectuar las correciones sólo en los futuros lanzamientos. El problema está relacionado con el TNS Listener, el proceso que responde a las solicitudes de conexión con las bases de datos, a través de determinado puerto. Según el investigador de seguridad Joxean Koret, los servidores que posean puertos de escucha abiertos a Internet, poseen una vulnerabilidad gracias a la cual un hacker podría interceptar las conexiones y hacerse pasar por un usuario legítimo. Si bien la empresa está al tanto de este bug (denominado Oracle TNS Poison) y reconoció al investigador por ello, aún no se publicó un parche y tampoco se haría en las versiones que todavía son soportadas por la compañía. ¿Por qué? En ese mismo alerta de seguridad, Oracle explicó que muchos clientes solicitaron que no lo hicieran, por la gran posibilidad de sufrir regresiones en sus implementaciones.

Clic.