30.01.2006, 10:45 Uhr
Streit um Sicherheitsloch in Oracle-Servern
Der Sicherheitsexperte David Litchfield hat einen Patch für ein seit Oktober bekanntes Loch in Oracles Serversoftware publiziert. Das passt der Datenbankanbieterin nicht.
David Litchfield von der Security-Anbieterin Next Generation Security Software hat einen Patch codiert für ein seit Monaten bekanntes Leck, das in Oracles Application Server, Internet Applications Server und HTTP Server klafft. Und weil die Datenbänkerin nicht selbst für Abhilfe sorgte - auch ihr jüngstes Critical Patch Update stellte keinen entsprechenden Korrekturcode zur Verfügung -, veröffentlichte Lichtfield seinen Patch kurzerhand auf der Mailing-Liste Bugtraq.
Nun läuft Oracle Sturm: Der Patch sei "unzulänglich". Sie warnt ihre Anwender davor, ihn aufzuspielen, weil er die Funktionstüchtigkeit installierter Software beeinträchtigen könne.
Das wiederum versteht Litchfield nicht. Der Patch sei "trivial", er verstehe nicht, warum Oracle nicht selbst in der Lage sei, das Loch zu flicken. Zumal es Hackern erlaube, via Internet über den PLSQL-Gateway der Oracle-Server unautorisierte Anfragen auf den dort gespeicherten Datenbanken zu initialisieren - ein gravierendes Sicherheitsrisiko, meint Litchfield.
Oracle argumentiert nun, erst durch Litchfields Veröffentlichung würden Hacker auf das Leck aufmerksam gemacht. Sofortigen Handlungsbedarf für einen eigenen Patch erkennt sie nicht: Je nachdem hätten andere Security-Fragen Vorrang.
Gartner-Analyst Rich Mogull kommentiert, dass die einst als "Sicherheitsbastion" gehandelte Oracle dieses Image verspielt habe spätestens, seit sie jüngst gleich 82 Sicherheitslecks in ihrer Software hatte flicken müssen.
Nun läuft Oracle Sturm: Der Patch sei "unzulänglich". Sie warnt ihre Anwender davor, ihn aufzuspielen, weil er die Funktionstüchtigkeit installierter Software beeinträchtigen könne.
Das wiederum versteht Litchfield nicht. Der Patch sei "trivial", er verstehe nicht, warum Oracle nicht selbst in der Lage sei, das Loch zu flicken. Zumal es Hackern erlaube, via Internet über den PLSQL-Gateway der Oracle-Server unautorisierte Anfragen auf den dort gespeicherten Datenbanken zu initialisieren - ein gravierendes Sicherheitsrisiko, meint Litchfield.
Oracle argumentiert nun, erst durch Litchfields Veröffentlichung würden Hacker auf das Leck aufmerksam gemacht. Sofortigen Handlungsbedarf für einen eigenen Patch erkennt sie nicht: Je nachdem hätten andere Security-Fragen Vorrang.
Gartner-Analyst Rich Mogull kommentiert, dass die einst als "Sicherheitsbastion" gehandelte Oracle dieses Image verspielt habe spätestens, seit sie jüngst gleich 82 Sicherheitslecks in ihrer Software hatte flicken müssen.
Catharina Bujnoch
