Oracle hat Auditing-Lücke geschlossen

Schon vor mehreren Monaten hat der Datenbank-Hersteller offenbar einen Fehler behoben, der es mit wenig Aufwand gestattete, das Auditing unbemerkt komplett abzuschalten.

In Pocket speichern vorlesen Druckansicht 7 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Christian Kirsch

In seinem Blog berichtet Alexander Kornbrust, Experte für Oracle-Sicherheit, vom Ende eines peinlichen Fehlers in der Datenbank. Die Lücke gestattete es, mit einem einfachen Befehl das Auditing vollständig außer Betrieb zu setzen. Diese Deaktivierung wurde nirgendwo protokolliert.

László Tóth hatte den Bug vor zwei Jahren auf einer Konferenz in Budapest vorgestellt. Er beruht auf dem nicht dokumentierten, aber in jeder Oracle-Installation vorhandenen Kommando oradebug. Darin gibt es den bereits aus Basic bekannten Befehl Poke zum Manipulieren von Speicherzellen. Mit einem passenden Poke konnte ein Nutzer mit dem SYSDBA-Privileg das Auditing spurenlos abschalten, anschließend Operationen vornehmen, die nicht protokolliert wurden, und schließlich das Auditing wieder aktivieren.

Laut Kornbrust enthalten die aktuellen Oracle-Versionen 11.2.0.4 und 12.1.0.1 eine Korrektur für den Fehler. Die Patches 15805002, 15808245 und 16177780 sollen sie laut Kornbrust auch in 11.2.0.3 einspielen. Eine Readme-Datei vom Dezember 2012 zu diesen Patches enthält den Hinweis auf den Parameter _fifteenth_spare_parameter (etwa "fünfzehnter unbenutzer Parameter"). Je nach seiner Einstellung könne die Nutzung von oradebug-Befehlen auf "all", "restricted" oder "none" eingeschränkt werden. Voreingestellt seien keinerlei Einschränkungen. (ck)