Sicherheitslücken bei Oracle

Auf der diesjährigen Black Hat Conference in Las Vegas berichtete der Sicherheitsspezialist David Litchfield von Next Generation Security Software eine Reihe von teilweise kritischen Sicherheitslöchern in Oracle-Produkten -- ohne allerdings neben der Möglichkeit von Buffer Overflows Details zu den Lecks nennen. Oracle ist seit Anfang dieses Jahres über die Probleme informiert und hat auch schon einige Fehler beseitigt, die eigentliche Ursache der Probleme wurde allerdings offenbar nicht beseitigt.

So finden sich laut Litchfield derzeit noch 34 Sicherheitslücken in Oracle-Produkten, einige davon seien kritisch, da Angreifer ohne Wissen über Konten und Passwörter die Systeme unter ihre Kontrolle bringen können. Oracle arbeitet momentan an weiteren Patches und will in Kürze ein Security Advisory mit Details zu den Lecks herausbringen. "Ich bestreite nicht, dass diese Fehler wahrscheinlich ernst sind", sagte Mary Ann Davidson, Chief Security Officer bei Oracle.

Litchfield hat angekündigt, in absehbarer Zeit Exploit-Code für die Sicherheitsprobleme zu veröffentlichen, allerdings keine, die Angreifern mit zweifelhaften Motiven nutzen würden. Der Anfang letzten Jahres ausgebrochene Wurm SQLSlammer beruhte möglicherweise auf einem Programmierbeispiel von David Litchfield, das er selbst im August 2002 zur Dokumentation eines solchen Angriffs auf Microsofts SQL Server 2000 veröffentlicht habe. Heute bedauert er dies, obwohl Microsoft bereits vor dem Ausbruch einen Patch bereitgestellt hatte -- viele Administratoren und Anwender hatten versäumt, ihn einzuspielen. (pab)