Web

SOAP-Loch in Oracles Appserver und Datenbank 9i

25.02.2004

MÜNCHEN (COMPUTERWOCHE) - Datenbank und Application Server von Oracle enthalten ein Sicherheitsleck bei der Verarbeitung von SOAP-Messages (Simple Object Access Protocol), deren XML konstruierte DTDs (Document Type Definitions) enthält. Ein Angreifer könnte die Schwachstelle für einen Denial-of-Service-Angriff missbrauchen, warnt der Hersteller. SOAP bilde die Grundlage für Web-Services, die natürlich ebenfalls betroffen seien. Besonders gefährdet ist demnach der 9i Application Server Release 2 in Versionen bis 9.0.2.1, bei dem die Authentifizierung für SOAP nicht standardmäßig aktiviert ist. Neuere Versionen sowie die 9i-Datenbank verlangen Authentifizierung.

Für Sites, die SOAP gar nicht verwenden, empfiehlt Oracle, die SOAP-Bibliothek in /soap/lib/soap.jar schlicht zu entfernen oder umzubenennen. Darüber hinaus ist auf der Metalink-Site (Registrierung erforderlich) bereits ein Patch verfügbar. (tc)