Nach zwei Lücken-Monaten nun eine Lücken-Woche
Anfang Dezember soll es eine Week of Oracle Database Bugs (WoODB) geben, in der jeden Tag eine Lücke veröffentlicht werden soll, für die der Hersteller Oracle noch keinen Patch anbietet. Sicherheitsexperten kritisieren die geplante Aktion.
- Daniel Bachfeld
Es scheint derzeit bei Sicherheitsanalysten schick zu sein, einzelne Zeiträume unter ein bestimmtes Motto zu stellen. Nach dem Month of Browser Bugs (MoBB) im Juli und dem gerade noch stattfindenden und Month of Kernel Bugs (MoKB) im November soll es Anfang Dezember nun sogar eine Week of Oracle Database Bugs (WoODB) geben. Initiator ist diesmal das Unternehmen Argeniss des argentinischen Sicherheitsspezialisten Cesar Cerrudo.
In der WoODB soll jeden Tag eine Lücke veröffentlicht werden, für die der Hersteller Oracle noch keinen Patch anbietet. Eine kleine FAQ in der Ankündigung erklärt die Motivation und warum es keinen Month of Oracle Database Bugs gibt: Zwar gebe es genügend Sicherheitslücken in Oracle, um daraus sogar ein Year of of Oracle Database Bugs zu gestalten. Man glaube aber, dass eine Woche ausreiche, um klarzustellen, das Oracle es immer noch nicht schaffe, sichere Produkte zu vertreiben und schnell Sicherheitsupdates auszuliefern. Oracle habe man sich ausgesucht, weil die Firma derzeit die Nummer Eins unter den Datenbankanbietern sei. Man habe aber auch genügend Lücken in Produkten anderer Hersteller parat.
Allerdings sind nicht alle besonders erfreut über die Ankündigung. Der Experte für Datenbanksicherheit Alexander Kornbrust von Red-Database-Security kritisiert, dass die Veröffentlichung von Lücken und Exploits in diesem Rahmen die Sicherheit nicht erhöht. Seiner Ansicht nach erfahren zwar nun Sicherheitsverantwortliche von den Problemen. Es sei aber nicht zu erwarten, dass vor April 2007 dafür Patches zu bekommen seien – sofern sie nicht zufälligerweise im Januar-Patchday von Oracle korrigiert werden. Andere Datenbankspezialisten wie David Litchfield veröffentlichen Details zu Lücken in Datenbanken beispielsweise erst drei Monate nach Verfügbarkeit von Updates. Zudem widerspricht Kornbrust den Initiatoren des WoODB: Oracle habe im Jahr 2006 nachweislich viel zur Erhöhung der Sicherheit getan.
Siehe dazu auch:
- The Week of Oracle Database Bugs, Ankündigung von Argeniss
(dab)
