Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.


31.01.2006

Streit um Oracles Patch-Politik

Der Hersteller wehrt sich gegen Vorwürfe von Sicherheitsexperten.

Nachdem Oracle in Sachen Sicherheits-Patches schwere Versäumnisse vorgeworfen wurden, geht das Unternehmen nun in die Gegenoffensive. Der Hersteller warnt seine Kunden, dass ein von dem Experten David Litchfield veröffentlichter Workaround mehr Probleme schaffe, als er beseitige.

Litchfield hatte den Fix, den er selbst als "trivial" bezeichnet, entwickelt, nachdem Oracle in seinem letzten Critical Patch Update (CPU) am 17. Januar eine von dem Spezialisten als kritisch erachtete Schwachstelle im "Application Server" nicht beseitigt hatte. Diese ermögliche es einem Angreifer, unter Umgehung sämtlicher Firewalls ohne User-ID oder Passwort via Internet mit dem Backend-Datenbank-Server zu interagieren. Litchfield veröffentlichte seine lediglich vier Codezeilen umfassende Hilfe im Internet.

Oracle:Kein Grund zur Eile

Oracle reagierte verschnupft: Duncan Harris, Senior Director für Security Assurance, warnt Kunden davor, den Workaround zu verwenden. Dieser sei "inadäquat" und störe mehrere Applikationen der E-Business-Suite. Die Schwachstelle sei "extrem schwer zu beseitigen" und erfordere gründliche Tests. Da noch kein einschlägiger Exploit-Code aufgetaucht sei, gebe es keine Notwendigkeit, vorschnell zu reagieren. Sollte später Gefahr im Verzug sein, werde man auch außerhalb des vierteljährlichen Rhythmus einen Notfall-Patch herausgeben.

Litchfields Aktion sei kontraproduktiv, so der Oracle-Manager: "Damit verschafft er jedem bösartigen Hacker eine großartige Ausgangsposition, um die Schwachstelle zu untersuchen und einen Exploit zu entwickeln.

Oracle ist in letzter Zeit immer öfter wegen seiner langsamen Patch-Entwicklung kritisiert worden. Viele dem Unternehmen gemeldeten Schwachstellen würden nur sehr zögerlich beseitigt, häufig seien Updates fehlerhaft. (ave)