Biztonsági rés az Oracle szoftverben

Az XDB teszi lehetővé a felhasználónak, hogy az adatbázishoz intézett lekérdezéseire XML formátumban kapjon választ. A sebezhetőség az Oracle 9i Database Server Release 2 verziót érinti, a Release 1 vagy a korábbi verziók felhasználói védve vannak a hibától. A sebezhetőséget kihasználó ártó szándékú felhasználó DoS támadást tud indítani, amellyel leállítja a szoftver működését, ill. ellenőrzése alá tud vonni egy aktív felhasználói sessiont. Az előidézett puiffer túlcsordulással a támadó teljesen ellenőrzése alá tudja vonni az adatbázisban tárolt adatokat, azokat másolni, megváltoztatni vagy törölni is képes. Bizonyos operációs rendszerek, pl. a Windows esetében a sebezhetőség azt is lehetővé teszi a támadónak, hogy uralma alá hajtsa a szoftvert futtató gépet is. A sebezhetőség kihasználásához nincs szükség felhasználói jogosultságra vagy jelszóra, amennyiben aktív az FTP és a HTTP szerver a 9i XDB-ben - ezek a szolgáltatások pedig alapértelmezésben be vannak kapcsolva a 9i Database Serverben.

Az Oracle szerint egy névtelen támadás az internet felől „nagyon valószínűtlen”, mivel a Database Servert tűzfal és közbeiktatott kiszolgáló nélkül kellene elérni - annál valószínűbb a támadás egy vállalati intranet felől. A szakértők szerint ez a magyarázat némileg megtévesztő, ugyanis a 9i-t rendszerint egy nyilvános webhelyen használják, s a támadónak elég uralma alá hajtania a nyilvános részt, és máris belülről tud támadni.