Oracle a décidé ne pas fournir de patch pour une vulnérabilité critique dans ses bases de données 10g et 11g. Au lieu de cela, les utilisateurs sont censés corriger le problème avec un workaround.

Selon Oracle, une grande quantité de code aurait besoin d'être changé et il y aurait un risque important de régressions possibles. Ils citent également l'impossibilité d'automatiser l'installation d'un patch pour le problème. Les utilisateurs d'Oracle ont donc une seul option, utiliser une méthode de contournement qui consiste essentiellement à assurer l'administration du cluster en utilisant la "Class of Secure Transport" (COST). Ils n'ont donc pas l'intention de corriger cette vulnérabilité avant la sortie de la version 12.

Le serveur de base de données est vulnérable à une attaque connue sous le nom de TNS listener poisoning, avec laquelle un pirate est en mesure d'écouter la communication d'un serveur de base de données via un nœud de cluster injecté. Des détails de l'attaque ont d'abord été publié en Avril par Oracle. La personne ayant découvert cette vulnérabilité l'avait déjà reportée il y a 4 ans et depuis Oracle a publié une nouvelle version majeure dans laquelle cette faille a été tout simplement ignorée...