Oracle habe mit Version 11g seiner Datenbank große Fortschritte gemacht, doch fänden sich darin Schwachstellen, bei denen es sich schlicht um "dumme Programmierfehler" handle, sagte Alexander Kornbrust, Managing Director bei Red Database Security, auf der "Hack in The Box Security Conference 2007" (HITB) in Kuala Lumpur. Nach Ansicht des Sicherheitsexperten herrscht bei der Entwicklungsmannschaft des Datenbankanbieters offenbar Schulungsbedarf, denn diese "simplen Sicherheitslecks" seien zu vermeiden.
Kornbrust, der Großunternehmen beim Sicherheitscheck ihrer Oracle-Datenbanken unter die Arme greift, war bei der Inspektion der Software auf SQL-Injection-Schwachstellen gestoßen. Diese ermöglichen es Angreifern, beliebigen Code auszuführen. Darüber hinaus will der Security-Spezialist eine Möglichkeit gefunden haben, die Auditing-Funktion in 11 g und anderen Versionen der Datenbank zu umgehen, was es ermögliche, die Compliance-Bemühungen eines Unternehmens zu untergraben.
Während Kornbrust plant, über einige Oracle-Schwachstellen auf der HITB zu referieren, will er von einer detaillierten Beschreibung seiner Methode, die Auditing-Funktion auszutricksen, absehen, bis Oracle das Problem behoben hat.
Einige der von ihm entdeckten Probleme spiegeln dem Experten zufolge Architekturschwächen in der Oracle-Datenbank wieder. In einem für die Konferenz geplanten Vortrag will Kornbrust darlegen, wie sich diese ausnutzen lassen, um Oracles neueste Sicherheitswerkzeuge darunter "Oracle Database Vault" und "Oracle Audit Vault" - auszuhebeln.
Aufgrund der kritischen Rolle, die die Oracle-Datenbank für das Business großer Unternehmen spiele sowie des breiten Spektrums der von Oracle unterstützten Plattformen können die Kosten für die Behebung eines darin befindlichen Sicherheitslecks beträchtlich sein, so Kornbrust. Am Beispiel eines deutschen Unternehmens, das 8.000 Oracle-Datenbanken betreibt, rechnete der Experte vor, dass für den Rollout eines einzigen Patches bis zu 32.000 Arbeitsstunden beziehungsweise vier Stunden pro Datenbank anfallen können. Das entspreche 60 ganztags beschäftigten Datenbank-Administratoren wobei Zeit und Kosten, die das Testen des Patches auf jeder Datenbank erfordere, noch nicht berücksichtigt seien.
Überdies müsse Oracle für jede zu flickende Sicherheitslücke einen eigenen Patch für jede unterstützte Datenbankversion sowie jede Hardwareplattform und jedes Betriebssystem, auf der die Software läuft, entwickeln. Unterm Strich, so Kornbrust, summiere sich dies auf rund 100 separate Patches pro Schwachstelle. (kf)
