Web

 

Oracle beseitigt Lecks in 8i- und 9i-Produkten

09.12.2003

MÜNCHEN (COMPUTERWOCHE) - Oracle warnt vor einer Sicherheitslücke in den Produkten "Database Server" (Versionen 8i und 9i), "Application Server" 9i sowie "HTTP-Server" (Versionen 8 und 9), über die sich Angreifer Zugriff auf die betroffenen Server verschaffen kann. Der Fehler steckt in der ASN.1 (Abstract Syntax Notation 1), auf die die Protokolle SSL (Secure Sockets Layer) und TLS (Transport Layer Security) zugreifen. Sie dienen zum Aufbau sicherer Verbindungen zwischen Clients und Server über ein hierarchisch höheres Protokoll wie HTTP (Hypertext Transfer Protocol).

Oracle selbst stuft das Leck als sehr risikoreich ein. Experten zufolge ist es jedoch schwierig, das Leck tatsächlich auszunutzen. Um Zugriff auf einen Server zu erhalten, müsse ein Angreifer gezielt manipulierte Daten übermitteln. Im schlimmsten Fall könne er jedoch auch Schadroutinen ausführen oder Daten stehlen, sagte Art Manion, IT-Sicherheitsspezialist beim CERT (Computer Emergency Response Team), das das Leck entdeckt hat.

Im Oracle Technology Network (OTN) findet sich eine Beschreibung des Problems mit Hinweisen auf die entsprechenden Patches. Ein Security-Advisory des CERT informiert ebenfalls über die Sicherheitslücke und listet im Anhang weitere Hersteller auf, deren Produkte betroffen sind. (lex)