17 апреля 2012 года, компания Oracle выпустила очередное обновление безопасности своих продуктов, закрывающее 88 уязвимостей. Но, среди критических уязвимостей в СУБД Oracle оказались недозакрытые уязвимости. Эксперт по компьютерной безопасности Джоксен Корет (Joxean Koret), узнав от Oracle, что обнаруженная им еще в 2008 году уязвимость CVE-2012-1675 наконец-то закрыта, опубликовал в рассылке Full Disclosure подробный отчет о принципах её использования. По умолчанию, СУБД Oracle поддерживает автоматическую регистрацию объектов Oracle Real Application Clusters (RAC), предназначенных для управления трафиком внутри кластерных систем. Всё, что нужно для подключения к системе в качестве ретрансляционного компонента Oracle TNS Listener, это знать Oracle SID или имя сервиса Oracle и иметь доступ к серверу СУБД через TCP-порт 1521. Отсутствие дополнительной защиты и является уязвимостью, позволяющей злоумышленнику подключиться к системе и получить доступ к управлению информацией, передаваемой внутри СУБД. Как в последствие оказалось, описанная уязвимость была устранена лишь в следующей версии СУБД Oracle 12 и не затрагивает все остальные, включая текущие 10g и 11g, а так же все прошлые версии начиная с Oracle 8i в которой впервые появился уязвимый механизм. Таким образом, уязвимость, которая впервые появилась еще с выходом Oracle 8i в 1999 году остается открытой по сей день, уже 13 лет. Опубликованная публично информация об уязвимости ставит под угрозу многие системы, использующие СУБД Oracle, поэтому в качестве основной меры предлагается отключить автоматическую регистрацию Oracle TNS Listener в настройках "listener.ora", добавив директиву "dynamic_registration = off". Такая мера является обязательной для всех пользователей этой системы, не использующих СУБД Oracle в кластере, иначе следует ограничить доступ к СУБД от сторонних IP-адресов. Компания Oracle объявила о том, что планирует выпустить в ближайшее время обновление безопасности для СУБД Oracle версии 10 и 11.
Описание уязвимости