Menü
Alert! Update
Security

Oracles Sicherheitslücke im Dateikonverter gefährdet nicht nur Server-Dienste

Von
vorlesen Drucken Kommentare lesen 9 Beiträge

Einige der vergangene Woche von Oracle eigentlich geschlossenen Sicherheitslücken ziehen große Kreise. Denn die Bibliothek Oracle Outside In kommt in vielen Produkten zum Einsatz, um Dateien verschiedenster Formate zu konvertieren. Neben Microsofts Exchange und Sharepoint sind auch Produkte von Cisco, HP, IBM, Novell, Symantec, McAfee und anderen betroffen.

Genau genommen handelt es sich nicht um eine einzelne Lücke sondern um insgesamt 14 Schwachstellen beim Parsen bestimmter Dateien. Betroffen sind die Dateiformate .VSD, .WSD, .JP2, .DOC, .SXD, .LWP, .PCX, .SXI, .DPT, .PDF, .SAM, .ODG, und .CDR. Ein Programm, das eine speziell präparierte Datei mit Hilfe der Oracle-Bibliotheken öffnet, ist grundsätzlich gefährdet. Dazu gehören eine ganze Reihe von Server-Diensten, etwa auch Antivirus-Scanner wie McAfees Groupshield, aber auch spezielle Desktop-Programme, die mit verschiedenen Dateitypen hantieren müssen wie das Forensik-Toolkit Guidance Encase.

Eine Sicherheitsnotiz des US-CERT listet eine Reihe von Firmen beziehungsweise Produkte auf, die die Oracle-Bibliotheken einsetzen und somit ebenfalls anfällig sind. Darunter finden sich:

  • Cisco Security Agent
  • Guidance Encase Forensics
  • Kroll Ontrack
  • IBM OmniFind Enterprise Edition
  • Novell Groupwise
  • McAfee GroupShield und Host Data Loss Prevention
  • Symantec Enterprise Vault

Auch eine längere Version dieser Liste beim US-CERT enthält offenbar noch nicht alle betroffenen Produkte; so nutzt Berichten zufolge etwa Aviras Antivir for Exchange ebenfalls Oracle Outside In. Bei einigen Produkten, die Outside In einsetzen, ist noch unklar ob sie verwundbar sind; unter anderem finden sich einige Print-Server auf der Liste. Microsoft hat ein eigens Advisory zu der Schwachstelle veröffentlicht. Dazu ob und wann die Hersteller Patches für ihre Produkte bereit stellen, ist ebenfalls noch nichts bekannt.

Update vom 26.07.2012, 17:50: Avira erklärte gegenüber heise Security, dass Antivir for Exchange die Microsoft Jet Engine und Microsoft Access als Datenbank nutzt und deshalb nicht von der Sicherheitslücke betroffen ist. (ju)