Oracle schließt 41 Lücken in seinen Produkten
Oracle hat sein vierteljährliches Critical Patch Update veröffentlicht. Allein 15 der Lücken betreffen die Oracle Datenbank. Die neuen Fehler verschlechtern die Schwachstellenstatistik von Oracles Produkt im Vergleich zu anderen Produkten abermals.
- Daniel Bachfeld
Oracle hat sein Critical Patch Update (CPU) für den Monat April veröffentlicht, das insgesamt 41 Schwachstellen in Oracle-Produkten beseitigen soll. Dazu gehören der Oracle Database Server, Oracle Application Express, Oracle Application Server, die Oracle E-Business Suite, der Oracle Enterprise Manager, Oracle PeopleSoft Enterprise. Erstmals enthält das Update auch Patches für Oracle Siebel CRM Applications.
Allein 15 der Lücken betreffen den Oracle Database Server, darunter auch die Version 11g. Einer der Fehler in der Datenbank lässt sich ohne Authentifizierung übers Netz ausnutzen, allerdings lässt der Bericht offen, was genau ein Angreifer ausnutzen könnte. Dazu gesellt sich nach Angaben des Spezialisten für Datenbanksicherheit Alexander Kornbrust ein fest einprogrammiertes Passwort im Datenbank-Server: Unter bestimmten Umständen setzt das System das Passwort des Benutzers OUTLN auf OUTLN zurück und weist diesem Benutzer DBA-Rechte zu. Davon sind alle Datenbanken außer 10.2.0.4 und 11g betroffen.
Die neu hinzugekommenen Fehler in der Datenbank verschlechtern die Schwachstellenstatistik von Oracles Produkt im Vergleich zu anderen Produkten abermals. Der international anerkannte Spezialist für Datenbanksicherheit David Litchfield von NGSSoftware kam in einer Analyse vor rund 14 Monaten zu dem Schluss, dass Microsofts SQL Server erheblich weniger Lücken aufwiesen als Oracle-Datenbanken. Jeff Jones, bei Microsoft als Security Strategy Director für die Trustworthy Computing Group tätig, kommt in einem Vergleich unabhängiger Fehlermeldungen von SecurityFocus, Secunia und der US-amerikanischen National Vulnerability Database im März dieses Jahres ebenfalls zu dem Schluss, dass Microsofts SQL Server erheblich weniger Lücken aufweisen als Oracles Datenbank.
Zwar sind Jones' Schwachstellenvergleiche zwischen Microsofts Betriebssystem, Linux-Distributionen und Mac sowie zwischen Internet Explorer und Firefox berühmt-berüchtigt, weil er laut seiner Kritiker dazu neigt, Äpfel mit Birnen zu vergleichen. Diesmal scheint der Vergleich aber etwas sachlicher auszufallen, da nur öffentliche Fehlermeldungen und Patches der Hersteller in die Wertung eingeflossen sind.
Siehe dazu auch:
- Oracle Critical Patch Update Advisory - April 2008, Beschreibung des Updates
- April 2008 Critical Patch Update Released, Eintrag im Oracle Global Product Security Blog
- SQL Server - Fact Checking Recent Vulnerability History, Jeff Jones Blog
(dab)
