David Litchfield, Geschäftsführer von Next Generation Security Software Ltd. (NGSS) waren eigenen Angaben zufolge mehr als 34 Sicherheitslecks aufgefallen. Nachdem er zunächst nur Oracle darüber informiert hatte, ging der Experte während der "Blackhat"-Konferenz Anfang August mit seinem Wissen an die Öffentlichkeit, ohne jedoch Details zu nennen. Er warnte, dass einige der Bugs kritisch seien, da sie es Angreifern ermöglichen können, ohne Benutzernamen oder Passwort die Kontrolle über ein Datenbanksystem zu übernehmen. Ein jetzt von Oracle veröffentlichter Sicherheitshinweis zählt alle betroffenen Produkte auf. Neben dem Datenbank-Server in den Versionen 8i, 9i und 10g (in jeweils unterschiedlichen Server-Releases) sind der "Oracle Application Server" (9i und 10g), der "Enterprise Manager Grid Control 10g" und "Enterprise Manager Database Controle 10g" verwundbar.

Ende November werden technische Details publiziert

Der Hersteller selbst stuft das Gefahrenpotenzial der jeweiligen Schwachstellen von mittel bis hoch ein. Auf jeden Fall sollten Anwender die Patches "ohne Verzögerung" einspielen. Details zu der genauen Art der Fehler bleibt Oracle aber noch immer schuldig. Litchfield beziehungsweise dessen Firma NGSS hat sich bereit erklärt, noch drei Monate lang Stillschweigen über die genauen Hintergründe zu wahren. Erst Ende November wollen die Spezialisten die noch fehlenden Fakten nachliefern. Damit wollen sie Administratoren Zeit geben, um die jetzt von Oracle bereitgestellten Updates zu testen und einzuspielen.

Eine jetzt von NGSS herausgegebene Warnung sagt lediglich, dass die Schwachstellen unter anderem Pufferüberläufe, PL/SQL-Injection und Denial-of-Service-Attacken betreffen. "NGSSQuirreL for Oracle" (http://www.nextgenss.com/squirrelora.htm), ein von dem Anbieter entwickeltes, spezielles Tool zum Auffinden von Sicherheitslücken in Oracle-Produkten, sei bereits in der Lage, alle in Frage kommenden Fehler zu entdecken. (ave)