A vádak szerint az Oracle semmit sem tett olyan lyukak befoltozására, melyekről már két éve tudomása van. “Úgy tűnik, az Oracle-t nem érdekli a hibák kijavítása és a biztonsági frissítések közzététele. Ha valaki úgy érzi, meg kell védenie Oracle Application Serverét, kapcsolatba kell lépnie a vállalattal” – írta Alexander Kornbrustin, a Red Database Security munkatársa jelentésében. A felfedett rések az Oracle Applications Server céges alkalmazás tervező rendszer összetevőiben találhatók meg, öt az Oracle Reportsban, egy pedig az Oracle Formsban. A sebezhetőségeket a Secunia mérsékelten veszélyesnek ítélte meg, 3 pontot adva ezzel a maximálisan elérhető 5-ből – írja a Forbes.
Kornbrust szerint a hibák az Oracle Internet Application Serverét is érintik. Azt állítja, hogy az Oracle Report rései révén bárki könnyűszerrel elolvashatja és felülírhatja az alkalmazás szerverén található állományokat. Emellett az operációs rendszer bármelyik parancsát lefuttathatja egy tetszőleges könyvtárból feltöltött jelentésen keresztül, akárcsak az Oracle Forms esetében – közölte az InformationWeek.
Az Oracle nem volt hajlandó interjút adni a TechWebnek, de kijelentette, hogy munkatársaik a hibák súlyossági sorrendjében, vagyis először a legveszélyesebbel kezdve foltozzák be a rendszert. Így a fent említett hat – általuk nem annyira kockázatosnak vélt – rés betömését csak később kezdik meg – olvasható a TechWeb oldalán. A szoftvermogul azonban láthatóan nem fogadta kitörő örömmel a leleplezést.
“Szerintünk az a legjobb módszer arra, hogy vásárlóinkat a lehető leghatékonyabban védhessük meg, hogy kerüljük a sebezhető pontok közzétételét mindaddig, amíg javításaik nem elérhetőek. Csalódottak vagyunk olyankor, mikor valamelyik termékünk gyenge pontjai azelőtt kerülnek nyilvánosságra, hogy a megfelelő javításokat a felhasználók rendelkezésre bocsájtottuk volna” – adtak hangot nemtetszésüknek, amivel gyakorlatilag a Microsoft álláspontját visszhangozták.