Ben 78 patch, rilasciate tutte in una volta: è questo l’ultimo aggiornamento di sicurezza pubblicato da Oracle, costretta agli straordinari in seguito alla scoperta di una serie di vulnerabilità che affliggono numerosi prodotti dell’azienda. Il tutto sarebbe riconducibile ad un’errata scelta in fase di progettazione da parte degli ingegneri che hanno curato lo sviluppo di applicazioni di primo piano nel web odierno.
Oracle Database Server, Solaris, Fusion Middleware, E-Business Suite, e MySQL: questi i nomi dei prodotti targati Oracle coinvolti nella problematica, la quale ha trovato subito rimedio grazie al pronto rilascio degli update da parte dell’azienda guidata da Larry Ellison, la quale ha dunque invitato tutti gli utenti, sia privati che aziendali, ad installare entro breve tempo tutte le patch disponibili presso il sito ufficiale della società. L’elenco delle vulnerabilità coinvolgerebbe infatti anche alcune etichettate come critiche, le quali rischiano seriamente di compromettere la sicurezza dei sistemi Oracle.
Oracle Database, dalla versione 10.1 alla 11.2, presenta ad esempio un bug che a detta di alcuni esperti di sicurezza consente di effettuare un attacco da remoto senza che sia necessario inserire le credenziali d’accesso per il login nel sistema aggredito. In tal caso non sarebbe tuttavia possibile intaccare i dati archiviati all’interno del database, ma essendo coinvolto lo strumento che si occupa di ascoltare eventuali richieste provenienti dall’esterno (leggasi altre applicazioni installate sulla macchina in uso oppure utenti remoti) risulta possibile bloccare queste ultime rendendo inutilizzabile il database stesso. Altre vulnerabilità sarebbero inoltre presenti nel medesimo tool, alcune delle quali anch’esse prive della necessità di inserire i dati di login, benché ritenute meno pericolose.
Una falla nell’implementazione del protocollo TCP/IP in Solaris (versioni 9, 10 ed 11) permette di mandare in crash il sistema operativo, mentre un’altra consente invece di prendere pieno controllo del computer in uso. Sono ventisette, poi, le patch disponibili per MySQL, il DBMS utilizzato da migliaia di server in tutto il mondo, alcune delle quali riguardano bug che permettono ad eventuali malintenzionati di avere pieno accesso alle informazioni archiviate nei database.