Web

 

Experten warnen vor 8i-Sicherheitsloch

02.07.2001

MÜNCHEN (COMPUTERWOCHE) - Sicherheitsexperten der Network-Associates-Tochter PGP Security haben in der vergangenen Woche gleich zwei Sicherheitslecks in Oracles "8i"-Datenbank entdeckt. Betroffen sind die Standard- und Enterprise-Releases bis 8.1.7 für die Betriebssysteme Solaris, AIX, HP-UX, Windows, Linux sowie Tru64.

Das ernstere Problem betrifft den für die Remote-Kommunikation mit anderen Datenbank-Services zuständigen "Transport Network Substrate (TNS) Listener". Dieser lässt sich über einen Pufferüberlauf lahm legen und ermöglicht Angreifern laut PGP unter Umständen die vollständige Kontrolle über einen Datenbank-Server. Ferner enthalte das "SQL-Net"-Protokoll eine DoS-Schwachstelle (Denial of Service). Jeder Dienst, der auf das Protokoll aufsetze - neben dem TNS Listener unter anderem auch Name Service und Connections Manager - sei angreifbar, so die Warnung. Jim Magdych, Security Manager der Covert Labs bei PGP, rät allen 8i-Anwendern, schnellstmöglich die entsprechenden Patches einzuspielen. Diese hat Oracle unter der Fehlernummer 1489683 bereits veröffentlicht.