Oracle ändert Lizenzmodell wegen verplapperter Sicherheitslücke
4 Jahre und immer noch kein Patch zu einer kritischen Sicherheitslücke – ja nicht mal eine Möglichkeit, sich vernünftig zu schützen. Das war doch zu viel, und so "schenkt" Oracle jetzt seinen Kunden die Verschlüsselungsfunktionen, die sie dafür brauchen.
Nachdem bekannt wurde, dass so gut wie alle Oracle-Datenbank-Server für eine Sicherheitslücke anfällig sind, die Oracle zwar seit mindestens 4 Jahren bekannt, aber immer noch keinen Patch wert ist, hat der Datenbankhersteller jetzt mit einer Alarmmeldung reagiert. Die beschreibt mögliche Gegenmaßnahmen und stellt den Nutzern der Cluster-Funktionen eine kostenlose Lizenz für die Verschlüsselungsfunktionen in Aussicht, die man normalerweise sehr teuer separat erwerben muss.
Bereits 2008 wies der Sicherheitsexperte Joxean Koret Oracle darauf hin, dass man bei allen Oracle-Datenbanken einen neuen Cluster-Knoten registrieren kann – und zwar ganz ohne Zugangsdaten. Über diesen Knoten wird dann zur Lastverteilung ein Teil der Datenbankverbindungen umgeleitet. Ein Angreifer, der übers Netz mit der Datenbank sprechen kann, könnte also damit die Kommunikation zwischen Applikation und Datenbank quasi beliebig belauschen oder auch manipulieren.
Die Jahre gingen ins Land, ohne dass etwas passierte, um dieses akute Sicherheitsloch zu stopfen. Oracle veröffentlichte zwischenzeitlich 2009 mit Version 11.2 eine neue Hauptversion – doch die und alle nachfolgenden Releases waren nach wie vor anfällig. Erst nach dem letzten, der vierteljährlichen Patchdays – also vier Jahre später – erklärte Oracle dem Entdecker, dass das Problem jetzt gefixt sei. Der ging davon aus, dass sich das auf die aktuellen Versionen bezog und veröffentlichte nähere Informationen zur Natur des Problems. Dies geschah unter anderem mit dem Ziel, Admins zu motivieren, doch möglichst schnell die jetzt veröffentlichten Patches einzuspielen und sich somit endlich gegen das uralte Problem zu schützen. Schließlich handelt es sich bei dem Sachverhalt keineswegs um Hexerei, bei der man davon ausgehen könnte, dass niemand anders ohne Hilfe darauf kommen könnte.
Doch im Nachhinein stellte sich dann heraus, dass Oracle für die aktuellen Versionen der Datenbank noch gar keine Patches bereitstellt; Produktionssysteme sind auch mit den aktuellen Updates nach wie vor verwundbar. Oracles Aussagen zu einem Fix bezogen sich ausschließlich auf die interne Entwicklerversion des nächsten Major Releases. In dem hatte der Datenbankspezialist das kritische Sicherheitsproblem nach 4 Jahren endlich entschärft. Ein Patch für die aktuell von Kunden eingesetzten Versionen ist jedoch weiterhin nicht in Sicht.
Einige Tage nachdem dann die Informationen an die Öffentlichkeit gelangt waren, welch scheunentorgroßes Loch in nahezu allen Oracle-Datenbanken klaffte, sah sich Hersteller dann doch genötigt, seine Kunden auf das Problem hinzuweisen. Ein Sicherheitsalarm (Oracle Security Alert for CVE-2012-1675) beschreibt das Problem und die Möglichkeiten sich zu schützen. Sie laufen im Wesentlichen darauf hinaus, die Cluster-Verwaltung über die sogenannte Class of Secure Transports (COST) abzusichern. Doch der Name COST ist dabei durchaus wörtlich zu nehmen, denn Oracle lässt sich die dafür in Cluster-Umgebungen erforderliche Komponente Oracle Advanced Security SSL/TLS normalerweise teuer bezahlen. Angesichts der akuten Gefahr hat der Datenbankhersteller seine Lizenzbestimmungen für Real Application Cluster (RAC) jetzt aber so geändert, dass man sie umsonst benutzen darf.
Ob und wann Oracle das Problem noch richtig fixen wird, ist nach wie vor ungewiss; weder im Sicherheitsalarm noch in einem parallel veröffentlichten Blog-Beitrag ist von Patches für aktuelle Versionen die Rede. Der Oracle-Sicherheitsexperte Alexander Kornbrust vermutet sogar, "dass jetzt wo es einen Workaround gibt, nach Oracles Ansicht, kein Patch mehr [..] notwendig ist". (ju)