Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.


11.04.2006

Sicherheitspanne bei Oracle

Peinliche Panne beim Datenbankriesen Oracle: Wie Sicherheitsexperten berichten, hat das Unternehmen in seinem Supportsystem "Metalink" kürzlich Codebeispiele veröffentlicht, mit denen man ein bislang ungepatchtes Sicherheitsloch in seiner Datenbank ausnutzen kann. Betroffen sind die Versionen 9.2.0.0 bis 10.2.0.3, unabhängig vom jeweiligen Betriebssystem. Die Lücke erlaubt es Benutzern mit einfachen Leserechten, über eine eigene, mit speziellen Parametern erzeugte View Daten zu ändern, löschen oder einzufügen. Die Schwere des Problems wird in einem von Alexander Kornbrust, Geschäftsführer der Red Database Security GmbH, veröffentlichten Advisory als "high risk" eingestuft. Dort findet sich auch eine Beschreibung, wie sich das Problem umgehen lässt, bis ein Patch zur Verfügung steht.

Späte Einsicht

Kornbrust wundert sich in dem Sicherheitshinweis über das Vorgehen des Herstellers. Normalerweise hält sich Oracle mit Informationen über Sicherheitslecks in seinen Produkten sehr zurück. Umso mehr erstaunt, dass die Company nun selbst Exploit-Code veröffentlicht. Nachdem alle Metalink-Kunden darauf Zugriff hatten, könne man "davon ausgehen, dass diese Informationen nun public Knowledge sind", so der Experte.

Oracle hat seinen Fehler anscheinend eingesehen und den Code inzwischen wieder von seinen Supportseiten entfernt. Eine Sprecherin sagte zudem, die Sicherheitslücke werde im Rahmen des für den 18. April geplanten Critical Patch Update (CPU) beseitigt. (ave)