Oracle heeft meerdere beveiligingslekken ontdekt in sommige versies van de databaseservers Oracle 81 en 9i, ook de Oracle 9i Application Server en de Web Server (versies 8 en 9) zijn kwetsbaar. Oracle heeft direct alle gebruikers van zijn producten gewaarschuwd. Voorzover bekend zijn de lekken nog niet door kwaadwillenden misbruikt.

De online-nieuwsdienst IDG News Service omschrijft de risico’s van deze lekken als ‘hoog’. In principe kan iedereen die vanaf een client-pc toegang heeft tot de genoemde serverapplicatie’s de beveiligingslekken misbruiken. Oracle heeft direct patches beschikbaar gesteld om de lekken te dichten

De programmeerfouten hebben verband met de Abstract Syntax Notation 1 die wordt gebruikt door de twee protocollen SSL (Secure Sockets Layer) en TLS (Transport Layer Security). De aanvaller kan door opzettelijk misvormde gegevens naar de Oracle-servers te sturen programmacode op de gekraakte server uitvoeren. Oracle had volgens een beveiligingsexpert het risico moeten verkleinen door bepaalde eigenschappen van de Open SSL-library’s in zijn servers uit te schakelen.

Britse onderzoekers van het National Infrastructure Security Coordination Center hebben de serie lekken in de Oracle serverapplicatie’s ontdekt.