Oracle schließt kritische Sicherheitslücken
Der Datenbankhersteller Oracle hat sein vierteljährliches Critical Patch Update veröffentlicht, das ingesamt 23 Sicherheitslücken schließt. Betroffen sind der Database Server, der Application Server, die Collaboration Suite und die E-Business-Suite.
Der Datenbankhersteller Oracle hat sein vierteljährliches Critical Patch Update veröffentlicht, das ingesamt 23 Sicherheitslücken schließt. Betroffen sind der Database Server (17), der Application Server (3), die Collaboration Suite (1) und die E-Business-Suite (2). Die Fehler erstrecken sich über verschiedene Versionen des jeweiligen Produktes, genauere Angaben sind Oracles Advisory zu dem Update zu entnehmen.
Anders als bisher beschreibt der Hersteller in seiner Meldung auch weitere Einzelheiten zu den Schwachstellen. So gibt er an, welche Module die Fehler enthalten und welche weiteren Voraussetzungen erfüllt sein müssen, um die Lücken auszunutzen -- etwa ob eine vorherige Authentifizierung erforderlich ist. Einige der Lücken beruhen auf Buffer Overflows, mit denen sich über das Netzwerk Code einschleusen lässt. Andere basieren auf SQL-Injection und Directory Traversing, also dem Ausbrechen aus vorgegebenen Pfaden.
Die Patches stehen für registrierte Kunden auf den Seiten von Oracle bereit. Entdeckt haben die Fehler unter anderem die Spezialisten für Datenbanksicherheit David Litchfield von NGSSoftware, Peter Finnigan und Alexander Kornbrust, die eigene Advisories veröffentlicht haben. Dem Advisory von Kornbrust ist zu entnehmen, dass Oracle einen Buffer Overflow, mit der sich der Datenbankserver zum Absturz bringen lässt, fast zwei Jahre nicht patchte.
Siehe dazu auch: (dab)
- Critical Patch Update Januar 2005 von Oracle
- Vulnerabilities in the Oracle Database Server von NGSSoftware
- Directory Traversal von Peter Finnigan
- Buffer Overflow in Create Database Link in Oracle8i - 9i von Alexander Kornbrust
