Kein Patch für Oracle-Datenbank-Lücke

Oracle hat entschieden, eine schwerwiegende Lücke in Database 10g und 11g nicht zu schließen, sondern es beim bereits beschriebenen Workaround zu belassen. Wegen der "Natur dieses Problems" gebe es keine Pläne, einen permanenten Bugfix für die aktuellen Versionen der Datenbanksoftware zu erstellen.

Laut Oracle müsse man dazu große Mengen Code ändern, wobei eine erhebliche Gefahr bestehe, andere Funktionen lahmzulegen. Darüber hinaus sei es nicht möglich, die Installation eines solchen Patches zu automatisieren. Oracles Kunden bleibt somit nichts anderes übrig, als den Workaround zu befolgen, der im Wesentlichen darauf hinausläuft, die Cluster-Verwaltung über die sogenannte Class of Secure Transports (COST) abzusichern. Schließen will das Unternehmen die Lücke erst mit der kommenden Version 12.

Der Datenbankserver ist für das sogenannte TNS Listener Poisoning anfällig, bei dem ein Angreifer durch einen eingeschmuggelten Cluster-Knoten die Kommunikation der Datenbank belauschen kann. Die Details über den Angriff sind im April durch ein Kommunikationsproblem zwischen Oracle und dem Entdecker der Schwachstelle bekannt geworden. Der Entdecker hatte Oracle das Sicherheitsproblem bereits vor über vier Jahren gemeldet; in der Zwischenzeit veröffentlichte das Unternehmen zwar eine neue Hauptversion, ignorierte das Problem hierbei jedoch.

Bereits im Mai bezeichnete die deutsche Oracle-Anwendergruppe (DOAG) den Umgang des Unternehmens mit der Lücke als Armutszeugnis und forderte einen Patch. Gegenüber heise Security vermutete der Oracle-Sicherheitsexperte Alexander Kornbrust jedoch schon damals, dass nach der Veröffentlichung des Workarounds "nach Oracles Ansicht, kein Patch mehr [..] notwendig sei", womit er Recht behalten hat. (rei)