MÜNCHEN (COMPUTERWOCHE) - Oracle warnt vor Sicherheitslücken in seiner Datenbanksoftware und im hauseigenen Applikations-Server. Betroffen sind die Datenbank-Versionen "9i Release 1", "9i Release 2", "8i Version 8.1.7" und "8 Version 8.0.6". Zwei Lecks stecken im Applikations-Server "9i Version 9.0.2a". In den Datenbanken ist der Authentifikationsprozess fehlerhaft. Durch Eingabe einer überlangen Anmeldeinformation können Angreifer einen Speicherüberlauf erzeugen und beliebigen Code auf betroffenen Servern ausführen. Es gibt noch drei weitere ungeprüfte Speicherbereiche, die sich jedoch nur von Anwendern ausnutzen lassen, die korrekt an der Datenbank angemeldet sind.

Der Applikations-Server lässt sich über die "WebDAV"-Funktion angreifen. Sie ist standardmäßig aktiviert, so dass Hacker Dateien auf den Server laden können, ohne sich vorher anmelden zu müssen. Zudem ist auch die Logging-Funktion lückenhaft. Angreifer können sich Administratorenrechte verschaffen, in dem sie speziell formatierte Daten an den Server schicken. Entdeckt haben die Lücken die Sicherheitsexperten von NGSSoftware. Oracle hat mittlerweile Patches für einige Datenbank-Versionen bereitgestellt. Das Leck im Applikations-Server soll mit der Version 9.0.3 behoben werden. (lex)