Celah Eksploitasi Oracle Server

Jakarta - Sebuah celah serius terpampang di Oracle Server. Celah ini memungkinkan pengguna Oracle dengan read-only privileges untuk membaca, memodifikasi dan menghapus data yang dipakai di aplikasi Oracle.Alex Kornbrust, pakar keamanan software dari Red-Database-Security, mengatakan bahwa Oracle tanpa sadar sudah mengungkap cara mengeskploitasi celah itu ke para hacker. Keberadaan celah itu dilaporkan lewat sebuah artikel yang diposting ke knowledge base MetaLink Oracle. Setelah diidentifikasi, celah tersebut ada pada Oracle Server Enterprise Edition versi 9.2 hingga versi 10.2.0.3.Sampel kode terkait bagaimana cara mengeskploitasi celah itu, juga telah diterbitkan di knowledge base MetaLink Oracle. Untuk mengantisipasi hal-hal yang tak diinginkan, Oracle menghapus artikel tersebut dari MetaLink."Namun hacker jahat yang memiliki akses ke MetaLink mungkin saja telah menyalin kode eksploitasi itu dari artikel knowledge base," tandas Kornbrust, seperti dikutip detikINET dari infoworld Rabu (12/4/2006).Salah seorang juru bicara Oracle, melalui e-mail, mengatakan perusahaan sudah mengetahui keberadaan celah terkait. Oracle saat ini sedang menyiapkan program tambalannya (patch) untuk disertakan di Critical Patch Update (CPU).Eksploitasi Fitur Updatable Join ViewDari salinan artikel knowledge base yang ditampilkan InfoWorld, keringkihan itu mempengaruhi fitur view Oracle yang dijuluki "updatable join view". Ini memungkinkan pelanggan Oracle secara dinamis meng-update atau menghapus informasi dasar yang ada di tabel database.Eksploitasi itu, kata Kornbrust, memungkinkan pengguna dengan SELECT privileges di tabel database, membaca dan menampilkan data dari tabel, bahkan menghapus, meng-update dan memasukkan data baru ke tabel dengan memakai kode eksploit seperti yang dijabarkan di artikel MetaLink Oracle.Ketika ditanya, Kornbrust menolak menerbitkan detil eksploitasi tersebut. Dirinya hanya mengatakan, masalah itu terjadi di privilege checking routines internal Oracle.Kornbrust juga menambahkan, keringkihan tidak mempengaruhi data yang disimpan di data dictionary Oracle, yang menyimpan inti dari informasi seperti halnya tabel user account dan objek database. Meski begitu, celah tersebut bisa dipakai untuk mengkebiri user permission yang ada di aplikasi software Oracle.Harus LoginDari semua ancaman yang dipaparkan di atas, Kombrust menegaskan hacker tidak segampang itu bisa masuk ke sistem. Walau hanya dengan low level "read only" atau guest account, hacker tetap harus bisa login ke dalam database Oracle yang ringkih itu.Juru bicara Oracle mengaku pihaknya menanggapi serius masalah ini. Bagi Oracle, keamanan adalah masalah penting. "Kami selalu mencoba melakukan yang terbaik," papar Oracle via e-mail.Untuk sementara ini, administrator Oracle mengajurkan agar penggunanya segera me-remove CREATE VIEW privilege untuk low-level account. (dwn) (rouzni/)