31 mei 2005

Oracle Metalink-kennisdatabase bevat 42 deels ernstige lekken. Dat
stelt het Duitse in Oracle-beveiliging gespecialiseerde bedrijf Red
Database Security in de kolommen van het blad eWeek. Metalink is een
database waarin de klanten van Oracle wereldwijd hun technische kennis
kunnen delen en problemen kunnen voorleggen aan elkaar en aan
Oracle-medewerkers.

Alexander Kornbrust van Red Database Security
constateerde onder andere dat het heel eenvoudig was om gevoelige
informatie van deelnemers en de al of niet opgeloste
(beveiligings-)problemen waar ze mee kampen boven tafel te krijgen door
de database op Google-achtige wijze te doorzoeken op steekwoorden. Ook
bleek bijvoorbeeld een al langer bekend probleem met de toegang tot de
Metalink-database niet opgelost te zijn. Dat probleem schuilt in het
feit dat oudere versies van de Oracle-database geen wachtwoord nodig
hadden om via de Listener, die als proxy fungeert, contact te maken met
de achterliggende database van Metalink.
Metalink is geen openbaar toegankelijke database. De database is alleen
benaderbaar voor Oracle-medewerkers en klanten met een
onderhoudscontract. Desalniettemin maken door eWeek om een reactie
gevraagde beveiligingsspecialisten zich wel zorgen over het bericht.
Red Database Security heeft nog geen details over de gevonden problemen
openbaar gemaakt, maar is blijkens een mededeling op zijn website wel
van plan binnenkort opening van zaken te geven.