Die Schlupflöcher hatten Mitarbeiter des britischen Anbieters Next Generation Security entdeckt. Durch eine Lücke in der Datenbank "9i", die sich angeblich auch im Vorgängerprodukt "8i" findet, können Hacker ohne Passwort auf die Datenbestände zugreifen und beliebigen Code ausführen, so die Spezialisten.

Ein anderer Bug im "Oracle Application Server 9i" ermöglicht es Angreifern, Schadprogramme auszuführen und Distributed-Denial-of-Service-(DDoS-)Attacken vorzubereiten. Und durch eine weitere Sicherheitslücke im Web-Server lassen sich schließlich Quelltexte von Java Server Pages auf 9i-Servern auslesen, in denen sich User-IDs und Passwörter finden. Oracle war nach eigenen Angaben bereits im Dezember informiert worden und hat mittlerweile Patches und Erläuterungen zu den Fehlern und Gefahrenquellen veröffentlicht. (as)