l+f: Wenn Oracles Security-Chefin vom Leder zieht

Wer Lücken in Oracle-Software findet, sollte sie wohl lieber nicht dem Hersteller melden. Sonst droht Ärger mit Oracles Rechtsanwälten.

In Pocket speichern vorlesen Druckansicht 116 Kommentare lesen
Lesezeit: 2 Min.

Der Software-Riese Oracle ist im Security-Bereich vor allem für das institutionalisierte Sicherheitsloch Java und seine Monster-Patchdays bekannt, bei derem letzten gleich 193 Sicherheitslücken auf einen Schlag gestopft wurden. Chief Security Officer Mary Ann Davidson erklärte jetzt in einem länglichen Blog-Beitrag, dass man besser keine Sicherheitslücken in Oracle-Produkten suchen sollte:

"Wenn Sie versuchen, den Code in eine andere Form zu bringen, als wir ihn ausliefern – also etwa in die Form, in der wir in geschrieben haben [...], dann betreiben Sie wahrscheinlich Reverse Engineering. Tun Sie das nicht – lassen sie es."

Denn Oracles Nutzungsbedingungen verbieten das Reverse Engeneering, um die Eigentumsrechte des Herstellers zu schützen. Wer auf diesem Weg Sicherheitslücken entdeckt und bei Oracle meldet, muss demnach mit harschen Schreiben von Oracles Anwälten rechnen. Dass andere nach Sicherheitslücken suchen, sei auch gar nicht nötig, schließlich täte Oracle schon selbst genug, um Sicherheitslücken zu finden und zu beseitigen, erklärt Davidson lang und breit (ihr Rant hat mehr als 16.000 Zeichen – das entspricht etwa einem dreiseitigen c't-Artikel).

Während schon die ersten schrägen Witze über Oracles schräger Position zu Sicherheitsproblemen durchs Internet geisterten, entfernte Oracle das Blog-Posting wieder von der Web-Seite. Wer es trotzdem lesen möchte, findet es natürlich noch, etwa in der Wayback Machine: No, You Really Can’t – Achtung, es ist wirklich lang.

lost+found: Die heise-Security-Rubrik für Kurzes und Skurriles aus der IT-Security
(ju)