Kritische Sicherheitslücke in Oracle-Datenbank verplappert
Eine angeblich gefixte, kritische Lücke in Oracles Datenbank entpuppt sich als weiterhin sperrangelweit offen. Die Details, wie sie sich ausnutzen lässt, sind allerdings bereits veröffentlicht.
Nach dem letzten Patchday erklärte Oracle eine schwerwiegende Lücke der Oracle Datenbank für gefixt. Der Entdecker veröffentlichte daraufhin konkrete Details mit denen man die Lücke an seinen eigenen Systemen nachvollziehen kann. Doch obwohl nahezu alle produktiven Oracle-Installationen gefährdet sind, gibt es für die gar keinen Patch – viele Oracle-Systeme stehen somit sperrangelweit offen.
Die von Oracle vermeldeten Sicherheits-Fixes bezogen sich ausschließlich auf das noch nicht veröffentlichte Oracle 12; aktuell verfügbar ist derzeit Oracle Database 11.2.0.3. Da somit alle produktiven Installationen betroffen sind, stehen Oracle-Administratoren im Regen und müssen schleunigst handeln. Der Angriff beruht darauf, dass es standardmäßig möglich ist, beim Datenbank-Server weitere Cluster-Knoten zu registrieren. Über die wird dann zum Lastausgleich ein Teil der Verbindungen abgewickelt. Ein Angreifer kann so eigene Spionage-Proxies einschleusen, deren Kommunikation er beliebig mitlesen oder auch manipulieren kann. Dafür braucht er nicht einmal Zugangsdaten für die Datenbank. Details zum Angriff und wie man sich dagegen schützen kann, erklärt heise Security in
(ju)
