Oracle-Patchday schließt nicht alle Lücken
Eine ungepatchte kritische Sicherheitslücke lässt sich immer noch zum entfernt gesteuerten Überschreiben von beliebigen Dateien auf dem Datenbank-Server ausnutzen.
Nach Einschätzung des Sicherheitsexperten für Datenbanken Alexander Kornbrust von Red Database Security werden durch das vorgestern von Oracle veröffentlichte umfangreiche Patch-Paket längst nicht alle bekannten Sicherheitslücken in dem weit verbreiteten Datenbank-System geschlossen. In einem Posting auf der Mailing-Liste Full Disclosure hebt er insbesondere einen kritischen Programmierfehler in Oracle Reports hervor, durch den sich übers Netz beliebige Dateien auf dem Server-System überschreiben lassen. Das schweizerische Consulting-Unternehmen Trivadis stellte schon vor mehr als einem Monat einen Workaround für genau diese Sicherheitslücke vor.
Auf der Übersichtsseite von Red Database Security findet sich eine ganze Reihe ungepatchter Sicherheitslücken in diversen Oracle-Komponenten. Diese sind zwar hauptsächlich vom Typ Cross-Site-Scripting (XSS) und als geringeres Risiko eingestuft. Doch Alexander Kornbrust äußert sich in seinen Advisories verwundert über die Tatsache, dass Oracle anscheinend kein Interesse habe, die teils seit 800 Tagen bekannten Sicherheitsprobleme zu beheben. Er berichtet schon lange regelmäßig über unbehobene Sicherheitslücken in Oracle-Produkten.
Siehe dazu auch: (cr)
- Liste mit unbehobenen Oracle-Sicherheitslücken von Red Database Security
