Details zu Lücken in Sybase Adaptive Server Enterprise doch veröffentlicht

Das auf Datenbanksicherheit spezialisierte Unternehmen NGSSoftware hat nun doch Details zu Schwachstellen im Adaptive Server Enterprise des Herstellers Sybase veröffentlicht. Dem vorausgegangen war zunächst eine Aufforderung von Sybase, das Dokument zurückzuhalten. Andernfalls werde man rechtliche Schritte einleiten, da die Lizenzbedingungen zur Nutzung des Produktes verletzt worden seien. Dem kam NGSS zunächst nach. "Alles ein Missverständnis", meinte Kathleen Schaub, Vizepräsidentin des Produktmarketings bei Sybase. Man habe nur sicherstellen wollen, dass keine Informationen weitergegeben werden, die die Situation der Anwender verschlimmert. Da man den Inhalt des Advisory nicht gekannt habe, habe man zunächst die Veröffentlichung verhindert. Anschließend habe man aber Kontakt mit NGSS aufgenommen, um das Problem zu klären.

Das bestätigt Chris Anley, Geschäftsführer von NGSS. Nach mehreren Diskussionsrunden hätte man sich über den Inhalt des Dokumentes einigen können. Letztlich seien aber 95 Prozent des Originals in die endgültige Fassung eingegangen. Das ganze Hin und Her ist nach Auffassung von Anley ohnehin unverständlich. NGSS sei für seine Leitlinie bekannt, Details erst drei Monate nach der Verfügbarkeit von Patches herauszugeben. Zudem entwickle man auch keine Exploits, um die Schwachstellen auszunutzen.

Im umstrittenen Advisory weist NGSSoftware auf insgesamt sechs Schwachstellen hin, wovon fünf auf Buffer Overflows beruhen. Um sie auszunutzen, muss ein Angreifer allerdings erfolgreich am Server angemeldet sein. Siehe dazu auch: (dab)

• Sybase ASE Multiple Security Issues Fehlerreport von NGSSoftware
• Sybase stoppt Veröffentlichung von Details zu Sicherheitslücken Meldung auf heise Security