computerwoche.de

Archiv

Oracle flickt Sicherheitslücken

25.04.2006
Das quartalsweise Critical Patch Update (CPU) beseitigt 36 Schwachstellen in mehreren Produkten des Anbieters.

Allein in Oracles Datenbank werden durch die Updates 14 Fehler behoben. Einige davon lassen sich gemäß der in einem aktuellen Security-Advisory des Herstellers enthaltenen Risk-Matrix leicht ausnutzen. Die weiteren von der Aktualisierung betroffenen Produkte sind "Collaboration Suite", E-Business Suite", "Enterprise Manager", "Peoplesoft Peopletools" und "JD Edwards Enterpriseone Security Server".

Einige der Probleme bezeichnen Sicherheitsexperten als "bedeutsam". Da keine Workarounds möglich sind, sollten Anwender die Patches möglichst rasch testen und installieren. Auch Oracle empfiehlt in einem Sicherheitshinweis, die Updates "so schnell wie möglich" einzuspielen.

Mit dem CPU beseitigt der Hersteller auch eine Sicherheitslücke, die im Januar für einige Diskussionen sorgte. Sie betrifft das PLSQL -Gateway (Procedural Language/Structured Query Language), das zur Verbindung von Oracles Datenbank mit Web-basierenden Anwendungen dient.

Einige Lücken bleiben

Nach Bekanntwerden des Fehlers hatte der Sicherheitsspezialist David Litchfield einen eigenen Fix entwickelt und über Internet bereitgestellt. Wegen möglicher Kompatibilitätsprobleme hatte Oracle jedoch davor gewarnt, diesen einzusetzen.

Dafür fehlt ein Fix für ein anderes, erst vor kurzem entdecktes Sicherheitsproblem, auf das Oracle selbst hingewiesen hatte. Die Lücke erlaubt es Benutzern mit einfachen Leserechten, über eine eigene, mit speziellen Parametern erzeugte View Daten zu ändern, zu löschen oder einzufügen. Auf der Homepage des Dienstleisters Red Database Security GmbH findet sich ein Hinweis, wie sich das Problem umgehen lässt, bis ein Patch zur Verfügung steht. Oracles nächstes Patch-Paket ist für den 18. Juli geplant.

Außerdem bietet Oracle mit dem aktuellen CPU Anwendern eine überarbeitete Version eines kostenlosen Security-Tools. Mit dem erstmals im Januar 2006 präsentierten "Oracle Default Password Scanner" sollen sich voreingestellte Passwörter auffinden lassen, die ein Angreifer ausnutzen könnte. Der Passwort-Scanner besteht aus einem SQL-Script, das Datenbanken auf "well-known accounts" untersucht. (ave)