Keine Kommentare
Allein in Oracles Datenbank werden durch die Updates 14 Fehler behoben. Einige davon lassen sich gemäß der in einem aktuellen Security-Adisory des Herstellers enthaltenen Risk-Matrix leicht ausnutzen. Die weiteren von der Aktualisierung betroffenen Produkte sind "Collaboration Suite", E-Business Suite", "Enterprise Manager", "Peoplesoft Peopletools" und "JD Edwards Enterpriseone Security Server".
Einige der Probleme bezeichnen Sicherheitsexperten als "bedeutsam". Da keine Workarounds möglich sind, sollten Anwender die Patches möglichst rasch testen und installieren.
Oracle beseitigt mit dem CPU auch eine Sicherheitslücke, die im Januar für einige Diskussionen sorgte. Sie betrifft das PLSQL -Gateway (Procedural Language/Structured Query Language), das zur Anbindung von Oracles Datenbank mit Web-basierenden Anwendungen dient. Nach Bekanntwerden des Fehlers hatte der Sicherheitsspezialist David Litchfield einen eigenen Fix entwickelt und über Internet bereitgestellt. Wegen möglicher Kompatibilitätsprobleme hatte Oracle jedoch davor gewarnt, diesen einzusetzen.
Dafür fehlt ein Fix für ein anderes, erst vor kurzem entdecktes Sicherheitsproblem, auf das Oracle selbst hingewiesen hatte. Die Lücke erlaubt es Benutzern mit einfachen Leserechten, über eine eigene, mit speziellen Parametern erzeugte View Daten zu ändern, zu löschen oder einzufügen. Auf der Homepage des Dienstleisters Red Database Security GmbH findet sich ein Hinweis, wie sich das Problem umgehen lässt, bis ein Patch zur Verfügung steht. Oracles nächstes Patch-Paket ist für den 18. Juli geplant.
Außerdem stellt Oracle mit dem aktuellen CPU Anwendern eine überarbeitete Version eines kostenlosen Security-Tools bereit. Mit dem erstmals im Januar 2006 vorgestellten "Oracle Default Password Scanner" sollen sich voreingestellte Passwörter auffinden lassen, die ein Angreifer ausnutzen könnte. Der Passwort-Scanner besteht aus einem SQL-Script, das Datenbanken untersucht und die Namen von "well-known accounts" ausdruckt. Ein Beispiel für so ein Konto ist das Schema "Scott", zu dem das Passwort "Tiger" gehört. Die Benennung erfolgte nach Bruce Scott, einem der ersten Angestellten von Software Development Laboratories (aus dem später Oracle wurde). Tiger war der Name seiner Katze. (ave)
