Oracle omzeilt 'zeroday' gevaar

Een workaround omzeilt een probleem, maar lost het niet op.

Een workaround omzeilt een probleem, maar lost het niet op.

Oracle biedt informatie om een beveiligingsgat af te dekken in zijn applicatieserver WebLogic. Er is al code beschikbaar die misbruik maakt van dit gat, zogeheten 'zeroday'- code dus.

Oracle waarschuwt voor een ernstig beveiligingsgat in zijn software en biedt informatie om het gat af te dekken. Die workaround is dringend nodig, want er waart al code rond op internet die misbruik maakt van dit gat. Deze zogeheten 'zeroday' code is op diverse publieke hackerforums gepost. Het gaat om een gat in de Apache-plugin voor de applicatieserver Oracle WebLogic (voorheen BEA WebLogic).

Kwaadwillenden kunnen misbruik maken van dat gat om op afstand een buffer overflow te veroorzaken. Dat kan bovendien zonder authenticatie, dus de kraker heeft geen gebruikersnaam en wachtwoord voor de WebLogic-applicatieserver nodig. Eindresultaat van een aanval kan een denial of service zijn, waardoor de applicatieserver plat gaat, maar ook een digitale inbraak waarbij dan informatie valt te stelen of corrumperen.

Onthullen of stilhouden

Oracle brengt deze waarschuwing en workaround buiten zijn gebruikelijke update-cyclus om. De softwareleverancier houdt zich normaal gesproken aan een kwartaalritme voor zijn Critical Patch Update-proces. Die werkwijze is in 2005 ingevoerd.

De ernst van het nu ontdekte beveiligingsgat en vooral het feit dat er exploitcode publiekelijk beschikbaar is, heeft Oracle aangezet tot snelle actie. De ontdekker van het gat heeft de softwareleverancier niet vantevoren op de hoogte gesteld. "Dus had Oracle geen gelegenheid een geschikte fix te ontwikkelen en klanten daarvan op de hoogte te brengen", blogt security-expert Eric Maurice van Oracle.

De exploitcode is zefs uitgebracht kort ná Oracle's Critical Patch Update van 15 juli. Veel crackers wachten zo'n patchmoment juist af om daarna hun slag te slaan. Vandaar dat de softwareleverancier nu met een workaround komt; aan een patch wordt dus nog gewerkt. Dit haakt in op de eeuwigdurende security-discussie over het onthullen of juist - al dan niet tijdelijk - stilhouden van details over beveiligingsgaten.