Existen dos vulnerabilidades en algunos de los paquetes de la base de datos con versiones anteriores de Oracle que permiten a un atacante acceder a un servidor remoto sin contraseña e incluso, ver el sistema de archivos del servidor y el volcado de archivos arbitrarios.

Oracle aún no desarrolla el parche para una de las dos fallas a pesar de que una investigadora informó de ella hace más de dos años. En ese entonces, dijo que los escenarios de ataque potenciales son aterradores.

La primera vulnerabilidad, que afecta a Oracle Forms y Reports 10g y 11g y tal vez las versiones anteriores, permite a un atacante volcar la base de datos de contraseñas sin necesidad de autenticación. La investigadora que descubrió los errores, Dana Taylor, informó del asunto a Oracle en abril de 2011, pero el equipo de respuesta de seguridad de la empresa le dijo que no lo consideran una vulnerabilidad real sino un error de configuración.

"¿Argumentaron que era simplemente un error de configuración- Yo estaba totalmente sorprendida por su respuesta. Básicamente, se olvidaron de la primera vulnerabilidad y luego vino una segunda que descubrí y presenté a ellos en octubre de 2011", escribió Taylor en su resumen de las interacciones con Oracle con respecto a estas vulnerabilidades.

El segundo error que encontró fue aún más preocupante. No solo permite sacar la lista de contraseñas de base de datos, la segunda falla también dio la posibilidad de ver el sistema de archivos del servidor desde un navegador no autenticado, volcar cualquier archivo al que la cuenta de Oracle puede acceder y realizar otras acciones no deseadas en el servidor y en la red. Taylor envió los nuevos detalles a Oracle en octubre de 2011, al mismo tiempo les recordó sobre el error inicial que había reportado, preguntando si la compañía todavía pensaba que era sólo un problema de configuración en lugar de una vulnerabilidad; dijo considerar la posibilidad de divulgar públicamente los hallazgos bajo el supuesto de que Oracle no los considera vulnerabilidades. Esta vez, consiguió una respuesta inmediata:

"Conforme a su solicitud, revisamos su informe original y lo hemos discutido con nuestro grupo de desarrollo. Llegamos a la conclusión de que la situación constituye, efectivamente, una vulnerabilidad", dijo Oracle en un correo electrónico a Taylor.

La compañía dijo que estaba dando seguimiento a los dos problemas que Taylor había reportado como vulnerabilidades y envió actualizaciones mensuales de los avances a Taylor hasta que se dio a conocer una solución, misma que según Taylor, en realidad no soluciona la vulnerabilidad. En una entrevista por correo electrónico, Taylor dijo aseguró que Oracle sólo eligió reconocer las fallas como tales después de mencionar la posibilidad de divulgarlas.

"Sí, absolutamente. Cuando informé sobre la vulnerabilidad ParseQuery nos dijeron que no era una vulnerabilidad sino un error de configuración. Así que les dije bien, entonces voy a publicarla. Ellos contestaron en el mismo día y señalaron que, de hecho, sí se trataba de una vulnerabilidad; y me dieron un número de seguimiento. Sobre la solución, que en realidad no arregla esta vulnerabilidad, sino que la ofusca al instruir a los clientes para desactivar "diagnostic output", la he probado con la última versión Weblogic/Oracle 11g. Todavía existe la vulnerabilidad. Por alguna razón u otra, podría haber alguien que no pudiera desactivar esta configuración y seguir siendo vulnerable. Y para aclarar, no sólo afecta a 11g, sino desde la 9i a 11g", dijo Taylor.