De acuerdo con el alerta de seguridad que publicó Oracle esta mañana, prácticamente todas las versiones de su reconocido software de bases de datos publicadas en los últimos 13 años, presentan un fallo de seguridad que permitiría monitorizar las conexiones a los servidores y hasta introducir malware en ellos. Para colmo, la compañía estudia efectuar las correciones sólo en los futuros lanzamientos.
El problema está relacionado con el TNS Listener, el proceso que responde a las solicitudes de conexión con las bases de datos, a través de determinado puerto. Según el investigador de seguridad Joxean Koret, los servidores que posean puertos de escucha abiertos a Internet, poseen una vulnerabilidad gracias a la cual un hacker podría interceptar las conexiones y hacerse pasar por un usuario legítimo.
Si bien la empresa está al tanto de este bug (denominado Oracle TNS Poison) y reconoció al investigador por ello, aún no se publicó un parche y tampoco se haría en las versiones que todavía son soportadas por la compañía. ¿Por qué? En ese mismo alerta de seguridad, Oracle explicó que muchos clientes solicitaron que no lo hicieran, por la gran posibilidad de sufrir regresiones en sus implementaciones.
La situación empeora si tenemos en cuenta que Koret publicó los detalles junto con una prueba de concepto, creyendo que se habían efectuado las correcciones necesarias al lanzar los parches más recientes. Como esto no fue así, ahora se convirtió en un fallo 0-day que todavía no fue resuelto y recién tendría una solución en los próximos lanzamientos del software de bases de datos.
Así las cosas, la compañía publicó una serie de medidas para reducir los riesgos, efectuando cambios en la configuración. Pero, de todas formas, debe ser un llamado de atención sobre la manera de tomar conocimiento y resolver los fallos porque, en este caso, el remedio fue peor que la enfermedad.