Nachdem Oracle in Sachen Sicherheits-Patches schwere Versäumnisse vorgeworfen wurden, geht das Unternehmen nun in die Gegenoffensive. Der Hersteller warnt seine Kunden, dass ein von dem Experten David Litchfield veröffentlichter Workaround mehr Probleme schaffe, als er beseitige.

Litchfield hatte den Fix, den er selbst als "trivial" bezeichnet, entwickelt, nachdem Oracle in seinem letzten Critical Patch Update (CPU) am 17. Januar eine von dem Spezialisten als kritisch erachtete Schwachstelle im "Application Server" nicht beseitigt hatte. Diese ermögliche es einem Angreifer, unter Umgehung sämtlicher Firewalls ohne User-ID oder Passwort via Internet mit dem Backend-Datenbank-Server zu interagieren. Litchfield veröffentlichte seine lediglich vier Codezeilen umfassende Hilfe im Internet.

Oracle:Kein Grund zur Eile

Oracle reagierte verschnupft: Duncan Harris, Senior Director für Security Assurance, warnt Kunden davor, den Workaround zu verwenden. Dieser sei "inadäquat" und störe mehrere Applikationen der E-Business-Suite. Die Schwachstelle sei "extrem schwer zu beseitigen" und erfordere gründliche Tests. Da noch kein einschlägiger Exploit-Code aufgetaucht sei, gebe es keine Notwendigkeit, vorschnell zu reagieren. Sollte später Gefahr im Verzug sein, werde man auch außerhalb des vierteljährlichen Rhythmus einen Notfall-Patch herausgeben.

Litchfields Aktion sei kontraproduktiv, so der Oracle-Manager: "Damit verschafft er jedem bösartigen Hacker eine großartige Ausgangsposition, um die Schwachstelle zu untersuchen und einen Exploit zu entwickeln.

Oracle ist in letzter Zeit immer öfter wegen seiner langsamen Patch-Entwicklung kritisiert worden. Viele dem Unternehmen gemeldeten Schwachstellen würden nur sehr zögerlich beseitigt, häufig seien Updates fehlerhaft. (ave)