zurück zum Artikel

Oracle reagiert (ein bisschen) auf verplapperte Sicherheitslücke

Nachdem bekannt wurde [1], dass so gut wie alle Oracle-Datenbank-Server für eine Sicherheitslücke anfällig sind, die Oracle zwar seit mindestens 4 Jahren bekannt, aber immer noch keinen Patch wert ist, hat der Datenbankhersteller jetzt mit einer Alarmmeldung reagiert. Die beschreibt mögliche Gegenmaßnahmen und stellt den Nutzern der Cluster-Funktionen eine kostenlose Lizenz für die Verschlüsselungsfunktionen in Aussicht, die man normalerweise sehr teuer separat erwerben muss.

Ob und wann Oracle das Problem noch richtig fixen wird, ist nach wie vor ungewiss; weder im Sicherheitsalarm noch in einem parallel veröffentlichte Blog-Beitrag [2] ist von Patches für aktuelle Versionen die Rede. Der Oracle-Sicherheitsexperte Alexander Kornbrust vermutet sogar, "dass jetzt wo es einen Workaround gibt, nach Oracles Ansicht, kein Patch mehr [..] notwendig ist".

Weitere Details und Hintergrund-Informationen zu der Sicherheitslücke und zu Oracles Reaktion sowie das Diskussionsforum bringt heise Security:


URL dieses Artikels:
http://www.heise.de/-1565358

Links in diesem Artikel:
[1] https://www.heise.de/meldung/Oracle-Datenbanken-anfaellig-fuer-eingeschleuste-Lauscher-1563022.html
[2] https://blogs.oracle.com/security/entry/security_alert_for_cve_2012
[3] https://www.heise.de/meldung/Oracle-aendert-Lizenzmodell-wegen-verplapperter-Sicherheitsluecke-1564995.html