Menü

Wirren um Oracle-Exploit

Ein vergangene Woche auf der Security-Mailingliste Bugtraq veröffentlichter Exploit nutzt eine seit 2004 bekannte Schwachstelle in dem Datenbanksystem von Oracle aus, für die Oracle bislang drei offenbar unwirksame Patches veröffentlicht hat, wie Sicherheitsspezialist David Litchfield in einem Posting auf Full Disclosure mitteilte. Die ausgenutzte Schwachstelle befinde sich in der Funktion GET_DOMAIN_INDEX_METADATA der Erweiterung DBMS_EXPORT. Sie betreffe alle Oracle-Versionen einschließlich der aktuellen 10g R2 und erlaube einem Datenbanknutzer mit eingeschränkten Zugriffsrechten, die vollständige administrative Kontrolle über die Datenbank zu übernehmen.

Dem rund 40 Zeilen langen Programm in der für Oracle-Datenbanken entwickelten Programmiersprache PLSQL kam bislang nur wenig Aufmerksamkeit zu, da der enthaltene Kommentar "Patch your database now!" zunächst nahelegte, es handele sich um die am vergangenen Oracle-Patchday behobene DBMS_EXPORT-Lücke mit der Bezeichnung DB05. Litchfield empfiehlt Oracle-Administratoren, bis zum Erscheinen eines Patches, der Datenbankgruppe PUBLIC das Execute-Recht für die löchrige Erweiterung zu entziehen.

Wann ein funktionierender Patch für die kritische Lücke erscheinen wird, ist noch nicht abzusehen. Oracle-Experten wie Alexander Kornbrust weisen regelmäßig darauf hin, dass immer wieder bekannte Sicherheitsprobleme von Oracle über mehrere Jahre hinweg nicht oder nur unvollständig behoben werden. Auch am vergangenen April-Patchday kam es zu einiger Verwirrung, als Oracle ein Teil der Patches nicht für alle Plattformen auslieferte, sondern deren Erscheinen unerwartet auf Mai verschob.

Siehe dazu auch: (cr)

Anzeige
Zur Startseite
Anzeige