Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

28.02.2003 - 

Datenbank und Applikations-Server betroffen

Oracle-Produkte weisen Sicherheitslöcher auf

MÜNCHEN (CW) - In Oracles Datenbank und Applikations-Server wurden insgesamt sechs Sicherheitslücken entdeckt. Der Hersteller stellt Patches zur Verfügung.

Gerade hat Microsoft mit dem "Slammer"-Wurm ein Debakel erlebt, nun muss auch Datenbankkonkurrent Oracle Sicherheitslöcher stopfen. In den Datenbanken 9i Release 2, 9i Release 1, 8i Version 8.1.7 sowie 8 Version 8.0.6 können Speicherüberläufe (Buffer Overflows) auftreten, wenn der Routine zur Benutzerauthentifizierung ein extrem langer Benutzername übermittelt wird.

Kommt es zu Buffer Overflows, können Hacker unter Umständen eigenen Code auf dem System ausführen. Im Falle von Oracles Datenbank tritt ein Speicherüberlauf nur dann auf, wenn die Client-Anwendung die Länge des Benutzernamens nicht begrenzt. Es gibt noch drei weitere Sicherheitslücken in den Datenbanken, die ebenfalls Buffer Overflows hervorrufen können. Um sie auszulösen, muss der Angreifer jedoch eingeloggt sein. Datenbank-Patches stehen zum Download bereit.

Schwierigkeiten bereitet auch der Applikations-Server des Herstellers. Über die in der Version 9.0.2 des "9i Application Server" eingeführte WebDAV-Schnittstelle (WebDAV = Web Distributed Authoring and Versioning) können Angreifer Denial-of-Service-(DoS-)Attacken starten. Anwender sollten auf die Version 9.0.3 migrieren oder die WebDAV-Funktion deaktivieren. Siehe auch otn.oracle.com/deploy/security/alerts.htm. (fn)