TECNOVIRUS.- La vulnerabilidad denominada TNS Poison, crítica para el sistema de base de datos Oracle, permanece sin corrección cerca de 4 años después de haber sido revelada.
Oracle argumenta haber parchado la vulnerabilidad, sin embargo el investigador de seguridad Joxean Koret, ha
declarado que la solución no cubre versiones anteriores del producto.
En un principio, Koret reportó la falla al programa caza recompensas de iSight Partners, el cual compartió los detalles con Oracle de acuerdo con las especificaciones del programa (2008). Posteriormente publicó una prueba de concepto para la falla que afecta las versiones 8i a 11g Release 2, la última versión disponible.
La compañía de software reconoció el problema en su actualización trimestral de seguridad liberada en el mes de abril y dio crédito a Koret por la identificación en su programa «Security-In-Depth».
Sin embargo, un intercambio de correos publicado por Koret, indican que Oracle decidió no parchar la falla en versiones ya existentes de su producto de base de datos debido a que la solución podría causar problemas de desempeño para los usuarios.
En su lugar, la empresa atendió la vulnerabilidad sólo en versiones internas de desarrollo, sin indicar qué versiones recibirán la solución.
Koret señaló en SC Magazine US que los atacantes podrían explotar el TNS Poison para «capturar cualquier conexión» hecha a la base de datos sin la necesidad de credenciales y de esta forma inyectar comandos maliciosos, aunque no se tiene conocimiento de ningún intento de ataque hasta el momento.
Alex Rothacker, director de análisis de seguridad para el equipo SHATTER de Application Security Inc. corroboró la versión de Koret, e indicó que los administradores de bases de datos deberían considerar soluciones alternas a falta de una reparación permanente.
Al parecer, la falta de un parche para versiones anteriores podría indicar que Oracle no considera la vulnerabilidad tan seria como Koret y Rothacker.
Fuente: itnews.com.au