Web

 

Sicherheitsexperte kritisiert Oracles Patch-Politik

20.07.2005

MÜNCHEN (COMPUTERWOCHE) - Oracle lässt sich viel Zeit beim Beseitigen bestimmter Schwachstellen. So lautet der Vorwurf von Alexander Kornbrust, Geschäftsführer des auf Oracle-Sicherheit spezialisierten Unternehmens Red Database Security im saarländischen Neunkirchen. Der Experte hat auf seiner Website jetzt sechs Warnungen publiziert, in denen er Sicherheitslücken mehrerer Oracle-Produkte beschreibt.

Betroffen sind unter anderem "Oracle Reports Enterprise" und "Oracle Forms" sowie verschiedene Versionen von Oracle-Producten, darunter auch die neuesten Ausgaben der Datenbank "10g". Auf der Homepage von Red Database Security warnt Kornbrust: "Diese Sicherheitslücken sind zum Teil kritisch und erlauben es einem Angreifer, eigenen Code auf dem Applikations-Server auszuführen beziehungsweise den Applikations-Server mit einer einfachen URL zu zerstören."

Obwohl der Spezialist eigenen Aussagen zufolge Oracle bereits vor zwei Jahren über die Probleme informierte, hat der Hersteller noch keine Patches bereitgestellt. Auch Informationen zu den Lücken sucht man auf den Seiten des Anbieters vergeblich. "Es scheint, dass Oracle nicht in der Lage oder nicht daran interessiert ist, diese Schwachstellen zu beseitigen", glaubt Kornbrust. Der Experte, der auf Fachkonferenzen Vorträge zur Oracle-Sicherheit hält, entschloss sich daher dazu, die Bugs zu veröffentlichen, um den Druck auf das Unternehmen zu erhöhen. (ave)