Oracle dicht kwetsbaarheden in E-Business Suite

Oracle dicht 12 kwetsbaarheden in E-Business Suite. 

Onderzoekers zoals ERPScan hadden hier eerder op gewezen. Van alle kwetsbaarheden zijn gepubliceerd in de Oracle Critical Patch Update voor oktober 2015, waren zeker zes ontdekt door ERPScan. Dit meldt Alexander Polyakov, cto van ERPScan.

Oracle wilde echter zelf zijn zaken rond kwetsbaarheden oplossen en geen bemoeienis van ERPScan. Volgens Polyakov waren er kwetsbaarheden in de Oracle E-Business Suite zoals XSS, SQL Injection, XXS en ‘User enumeration vulnerabilities. Aanvallers zouden zo toegang krijgen tot de business applicaties met gebruik van administratierechten. Nu zijn de kwetsbaarheden gedicht met patches, aldus Oracle.

Geen hulp nodig

De hevigheid van het beveiligingsbedrijf komt deels van Oracle's eigen houding in augustus. Toen publiceerde het bedrijf een blogpost waarin het stelde dat klanten en consultants niet aan reverse engineering mogen doen met software van het bedrijf om fouten te ontdekken. Dit zou de voorwaarden van het softwarebedrijf schenden. Bovendien zou het bedrijf 87 procent van de beveiligingslekken zelf vinden.

De bewuste blogpost ging kort nadien weer offline, maar ze zorgde voor genoeg opschudding in de sector. Zo is het doorgaans net een goede zaak dat derde partijen hun neus in de software steken omdat beveiligingsproblemen zo net sneller worden ontdekt. "De beste manier om onderzoekers kwaad te krijgen, is door te zeggen dat je hen niet nodig hebt."

Door: Witold Kepinski