security / Nieuws
Oracle omzeilt 'zeroday' gevaar
Oracle biedt informatie om een beveiligingsgat af te dekken in zijn applicatieserver WebLogic. Er is al code beschikbaar die misbruik maakt van dit gat, zogeheten 'zeroday'- code dus.
Oracle waarschuwt voor een ernstig beveiligingsgat in zijn software en biedt informatie om het gat af te dekken. Die workaround is dringend nodig, want er waart al code rond op internet die misbruik maakt van dit gat. Deze zogeheten 'zeroday' code is op diverse publieke hackerforums gepost. Het gaat om een gat in de Apache-plugin voor de applicatieserver Oracle WebLogic (voorheen BEA WebLogic).
Kwaadwillenden kunnen misbruik maken van dat gat om op afstand een buffer overflow te veroorzaken. Dat kan bovendien zonder authenticatie, dus de kraker heeft geen gebruikersnaam en wachtwoord voor de WebLogic-applicatieserver nodig. Eindresultaat van een aanval kan een denial of service zijn, waardoor de applicatieserver plat gaat, maar ook een digitale inbraak waarbij dan informatie valt te stelen of corrumperen.
Onthullen of stilhouden
Oracle brengt deze waarschuwing en workaround buiten zijn gebruikelijke update-cyclus om. De softwareleverancier houdt zich normaal gesproken aan een kwartaalritme voor zijn Critical Patch Update-proces. Die werkwijze is in 2005 ingevoerd.
De ernst van het nu ontdekte beveiligingsgat en vooral het feit dat er exploitcode publiekelijk beschikbaar is, heeft Oracle aangezet tot snelle actie. De ontdekker van het gat heeft de softwareleverancier niet vantevoren op de hoogte gesteld. "Dus had Oracle geen gelegenheid een geschikte fix te ontwikkelen en klanten daarvan op de hoogte te brengen", blogt security-expert Eric Maurice van Oracle.
De exploitcode is zefs uitgebracht kort ná Oracle's Critical Patch Update van 15 juli. Veel crackers wachten zo'n patchmoment juist af om daarna hun slag te slaan. Vandaar dat de softwareleverancier nu met een workaround komt; aan een patch wordt dus nog gewerkt. Dit haakt in op de eeuwigdurende security-discussie over het onthullen of juist - al dan niet tijdelijk - stilhouden van details over beveiligingsgaten.
- 17:31 'Logica heeft onwetendheid UWV niet misbruikt'
- 17:01 Onderaannemer Atos Origin moet tarief verlagen
- 16:42 Python 3.0 breekt met het verleden
- 13:43 Nederland geeft 30,9 miljard euro uit aan ICT
- 13:18 BBned komt mogelijk in de etalage
- 16:01 Cebit breidt aantal seminars uit
- 14:16 Consultant maakt handboek werven via LinkedIn
- 11:30 Licentiemodel leidt tot perverse klantrelatie
- 07:48 Mislukte SAP-module kost provincie vijf ton
- 10:30 Consultant krijgt 7,5 voor kennis
IT-beveiliging moet hoger op de agenda
De afgelopen twintig jaar is er veel meer geïnvesteerd in de ontwikkeling van nieuwe softwareproducten dan in de beveiliging ervan. Deze whitepaper gaat in op de problematiek van IT-beveiliging en biedt tevens een aantal suggesties voor verbetering ervan.... Download nu
De succesfactoren voor Identity & Access Management
Identity & Access Management (IAM) oplossingen zijn vaak kostbaar, complex en lastig te integreren in de organisatie. Het is daarom van belang dat ‘best practises’ worden gerespecteerd bij dergelijke projecten. Deze whitepaper beschrijft de belangrijkste factoren vereist voor een...... Download nu
Meer Security whitepapersComputable Events Security
Computable organiseert in 2008 weer verschillende events met praktijkgerichte informatie over actuele onderwerpen in de ICT:
EMC pakt databescherming, risk en TCO aan
04-12 16:16 EMC, specialist in informatie-infrastructuuroplossingen, introduceert nieuwe versies van zijn databescherming softwareportfolio. EMC Data Protection Advisor 5.0, EMC Networker...
Meer security productenTransparante systeemtoegang voor 17.000 UWV-medewerkers
16-07 11:15 Het moet de nachtmerrie zijn van elke informatiebeveiliger: de toegang regelen van 17.000 medewerkers tot de systemen van een organisatie waarin ruim 22 miljard euro per jaar...
Meer security praktijkLege stoelen bij Pinewood
13-11 09:48 Netwerk- en databeveiliger Pinewood groeit. Binnenkort betrekt het bedrijf een tweede etage in een kantoortoren aan de rand van Delft. Daar bevindt zich het zenuwcentrum van...
Meer security achtergrondECM onmisbaar in het 'nieuwe werken'
02-12 12:42 Het nieuwe werken wordt in steeds meer bedrijven toegepast. Mondiale intergratie, opkomst van de digitale revolutie, toenemende vergrijzing, continue connectiviteit en overheids-...
Meer security opinieBekijk de leveranciers op het gebied van Security.


