Oracle lässt sich Zeit

Über 660 Tage hatte Oracle Zeit, um kritische Sicherheitslöcher zu stopfen. Bis heute ist nichts passiert.
21. Juli 2005

     

Der Softwarehersteller Oracle nimmt's gerne gemütlich, mindestens, wenn es um das Stopfen von Sicherheitslöchern geht. Alexander Kornbrust vom deutschen Sicherheitsspezialisten Red Database Security hat Oracle vor über 660 Tagen mit mehreren Security-Advisories versorgt, die etliche schwerwiegende Probleme in Oracle-Produkten beschrieben. Trotz mehrerer Erinnerungen und gesetzten Fristen hat Oracle nicht reagiert. Die letzte Mahnung erfolgte im April. In ihr kündigte Kornbrust gegenüber Oracle an, die Informationen zu veröffentlichen, wenn kein Patch fabriziert werde. Am letzten Montag ist Kornbrust nun der Geduldsfaden gerissen, nachdem Oracle in der Vorwoche 49 Patches veröffentlicht hat, die aber alle nicht die von ihm berichteten Probleme adressieren, und er hat die Advisories veröffentlicht.


Betroffen sind die Oracle-Produkte Oracle Forms und Oracle Reports. Laut Kornbrust erlauben die Sicherheitslöcher Angreifern, Systembefehle über das Netz auszuführen, Daten zu lesen und teilweise gar zu schreiben. Auf einem Oracle Application Server, zu dem die beiden betroffenen Applikationen gehören, lasse sich gar jede Datei überschreiben. Zudem seien die Applikationen auf mehrere Cross-Site-Scripting-Attacken anfällig.




Die Veröffentlichung scheint bei Oracle nun die Zunge gelöst zu haben. Dabei mimt man die beleidigte Diva, die sich nichts zu Schulden hat kommen lassen. Oracle erklärte gegenüber den Medien, man nehme Sicherheit sehr ernst und die Oracle-Policy sei, zuerst die gefährlichsten und dann die weniger gefährlichen Löcher zu stopfen. Zudem sei man sehr enttäuscht, dass Informationen über Sicherheitslöcher in Oracle-Produkten veröffentlicht worden seien, bevor ein Patch veröffentlicht wurde.


Während sich Oracle weiter Zeit lässt, hat sich Kornbrust den Problemen selber angenommen und im Rahmen seiner Advisories auch gleich noch Workarounds publiziert, mit deren Hilfe betroffene Anwender ihre Systeme schützen können.


Das Verhalten von Oracle ist bei weitem kein Einzelfall. Bereits im letzten Jahr befand sich die britische NGS Security in einer ähnlichen Situation. David Litchfield von NGS Security entschloss sich ebenfalls, die Informationen zu veröffentlichen, was er an der Black Hat Sicherheitskonferenz tat. Und auch Kornbrust hat noch weitere Pfeile im Köcher: An der diesjährigen Black Hat, die am 23. Juli startet, will er in einem Vortrag zeigen, wie man die Datenbank-Verschlüsselung von Oracle umgehen kann - mit Oracles Segen, wie US-amerikanische Medien berichten.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Was für Schuhe trug der gestiefelte Kater?
GOLD SPONSOREN
SPONSOREN & PARTNER