Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

11.06.1999 - 

Hersteller spielt Gefahr für Datenbank herunter

Oracle warnte nur zahlende Kunden vor Bug

SAN MATEO (CW) - Still und leise hat Oracle einen Patch für Unix-basierte "Oracle-8"-Datenbanken auf seiner Web-Site veröffentlicht. Nur Supportkunden hatten vorab erfahren, daß ein Bug die Sicherheit des Systems bedrohte.

Der Fehler betrifft die Datenbankversionen "8.03" bis "8.05" und "8.1.5", die Unix als Betriebssystem benutzen. Er könnte Hackern die Möglichkeit geben, die Anwendung "oratclsh" aufzurufen, die Teil der Management-Komponente "Intelligent Agent" ist. Einmal geschafft, ließen sich Befehle mit Hilfe der Scriptsprache Tool Command Language (TCL) absetzen, die geübten Eindringlingen über kurz oder lang dieselben Zugriffsrechte wie einem Systemadministrator verschaffen. Gelingt dabei der Zugriff auf die Kernprozesse der Datenbank, stünde der illegalen Nutzung von Informationen und der Manipulation des Systems nichts mehr im Wege.

Eine Warnung verschickte Oracle allerdings nur an seine Supportkunden. Anschließend veröffentlichte der Hersteller Anfang Mai den Patch auf seiner "Metalinks"-Web-Seite und stellte eine Nachricht auf die Web-Site und ins Oracle Technology Network (OTN). Laut Jeremy Burton, Vice-President für Server-Marketing bei Oracle und OTN, habe man somit alles Nötige unternommen, um den Bug zu beseitigen. "Hätte wirklich ein größeres Risiko für unsere Kunden bestanden, hätten wir sie ausführlicher informiert."

Kunden ohne Supportvertrag erfuhren nichts von der Gefahr. Ein Sprecher bei Oracle spielt das Problem jedoch herunter. Seiner Meinung nach verwenden die meisten Anwender ohne Support ältere Systeme, die nicht vom Bug betroffen sind. Auch sei der Versuch, die Sicherheit der Datenbank auszuhebeln, nicht so einfach, da ein Eindringling zunächst vor der schwierigen Aufgabe stünde, sich in das Unix-Betriebssystem einzuhacken.