Sicherheitslücke in Oracle-Datenbank

Oracle versucht derzeit eine Sicherheitslücke in Oracle 11g zu beheben. Wie «Dark Reading» meldet, hatte der Sicherheitsforscher David Litchfield auf der Konferenz «Black Hat DC» einen Zero-Day-Exploit präsentiert, der es in sich hat. Ist eine Attacke erfolgreich, kann der Angreifer die eigenen Rechte ausweiten und im schlimmsten Fall die komplette Oracle-Datenbank übernehmen. Litchfield ist in diesem Bereich kein Unbekannter, der Sicherheitsexperte hat sich seit zwei Jahren auf Oracle eingeschossen und bereits mehrere Lücken gemeldet. Mit zu den Gründen, warum er sich so sehr mit Oracle beschäftigt, sei die Aussage des Oracle-Chefs Larry Ellison gewesen. Dieser hatte einmal behauptet, die Datenbanken seien unknackbar - diese Aussage sei für Litchfield wie ein rotes Tuch für einen Stier gewesen.

Der Datenbank-Hersteller will in Kürze eine E-Mail an die Nutzer senden, in dem ein Workaround für die Sicherheitslücke beschrieben wird. Ein Patch sei bereits in Arbeit. Bis dieser offiziell ausgerollt wird, sollten Administratoren zusätzliche Sicherheitsmassnahmen einführen. Laut Josh Shaul, einem leitenden Mitarbeiter der Abteilung Application Security, kann man mit gezielten Einschränkungen der Nutzerrechte auf den verwundbaren Systemen die Angriffe deutlich erschweren. Litchfield sieht die Veröffentlichung der Lücke als eine Art Abschiedsgeschenk für Oracle. Während seiner zweijährigen Arbeit habe der Konzern seine Sicherheitsmassnahmen deutlich verbessert, so der Forscher.