Vulnerabilidade gravíssima detectada no SGBD Oracle

Esta é daquelas que vai ficar para a história.

Uma vulnerabilidade de projecto no SGBD Oracle pode fazer com que sejam efectuados facilmente ataques de DoS a sistemas de informação suportados por instâncias Oracle, sobretudo se estas estiverem interligadas com muitas outras instâncias, como é o caso em organizações de grande dimensão.

A Oracle já lançou patches para as versões 10G e superiores. Mas ainda temos mais de meio mundo a correr em cima de versões inferiores.

O problema pode ser desencadeado por ataques de injecção de SQL e resume-se à existência de um contador que é incrementado em cada transacção e que teoricamente não deveria ultrapassar um determinado limite téorico. Mas as bases de dados Oracle já estão a executar há muitos anos e sempre que é efectuada a ligação entre duas instâncias, ambas passam a usar o máximo do valor actual do tal contador. Esta forma de funcionamento juntamente com a existência de comandos que forçam o incremento do contador em ordens de magnitude resultam numa receita perigosíssima.

Detalhes em http://www.infoworld.com/d/security/revealed-fundamental-oracle-flaw-184163.

Com agradecimentos ao Alexandre Correia