Selber patchen

Sicherheitslücke nervt Oracle-Kunden

Spezialgebiet Business-Software: Business Intelligence, Big Data, CRM, ECM und ERP; Betreuung von News und Titel-Strecken in der Print-Ausgabe der COMPUTERWOCHE.
Obwohl die Sicherheitslücke "TNS Poison" in der Oracle-Datenbank seit vier Jahren bekannt ist, gibt es bis heute keinen Patch. Anwender müssen selbst Hand anlegen.
Wegen Fehlern in der Anmeldeprozedur lässt sich ein "böser Listener" in die Kommunikation zwischen Client und DB schalten.
Wegen Fehlern in der Anmeldeprozedur lässt sich ein "böser Listener" in die Kommunikation zwischen Client und DB schalten.

Es ist ein Armutszeugnis für Oracle", kritisieren Vertreter der Deutschen Oracle Anwendergruppe (Doag). Im Jahr 2008 hatte der Security-Spezialist Joxean Koret eine nach seinen Worten schwerwiegende Sicherheitslücke (TNS Poison) in Oracles Datenbanken entdeckt und den Hersteller darüber informiert. In der Annahme, Oracle habe das Problem behoben, veröffentlichte Koret am 18. April in einem Blog-Eintrag weitergehende Informationen - vor allem auch, um die Anwender dazu zu bewegen, die aktuellen Patches für ihre Datenbanken einzuspielen.

Allerdings schwante dem Sicherheitsexperten schon zu diesem Zeitpunkt nichts Gutes. In seinem Blog-Eintrag verwies Koret darauf, den Patch noch nicht getestet zu haben. "Ich wäre nicht überrascht, wenn er die Lücke nicht korrekt und vollständig behebt."

Die Zweifel waren offenbar gerechtfertigt. Korets Angaben zufolge habe Oracle mitgeteilt, dass ein Patch für TNS Poison aufgrund der Komplexität der Sicherheitslücke nicht in das Critical Patch Update (CPU) vom April aufgenommen werden konnte. Allerdings werde der Fehler im nächsten Release behoben. Angaben, welche Datenbankversionen von den Auswirkungen von TNS Poison betroffen seien, habe Oracle nicht gemacht. "Um die Interessen unserer Kunden zu schützen, geben wir Informationen dieser Detailgenauigkeit nicht preis", zitiert Koret den Softwarekonzern. Er vermutet, dass die Versionen 8i bis 11g von der Schwachstelle betroffen sind.

Workaround statt Patch

Diese Lücke ist sehr ernst zu nehmen, mahnen Koret und die Doag-Vertreter. Über den sogenannten TNS Listener könnten sich Angreifer in die Kommunikation zwischen Applikationen und Datenbank einklinken. Über einen zusätzlichen "bösen" Listener ließen sich Daten abfangen und sogar bösartiger Code in die angezapften Systeme einschleusen.

Oracle reagierte - allerdings nicht mit einem Patch, sondern mit einem manuellen Workaround, was laut Doag unter den Kunden großes Staunen hervorgerufen habe. Diese müssten durch das Verändern von Parametern die Lücke schließen. Für Real-Application-Cluster-(RAC-)Umgebungen empfiehlt Oracle eine SSL/TLS-Verschlüsselung. Diese Option, die sich Oracle normalerweise bezahlen lässt, könnten betroffene Kunden nun kostenlos nutzen. Ein Zeichen dafür, dass der Hersteller das Problem offenbar als gravierend einschätzt.

Security-Spezialist und Doag-Vertreter Alexander Kornbrust von der Firma Red-Database-Security GmbH vermutet, da es nun einen Workaround gebe, werde Oracle so schnell wohl keinen Patch für das Problem herausbringen.