{"id":6697,"date":"2012-05-01T10:47:30","date_gmt":"2012-05-01T08:47:30","guid":{"rendered":"http:\/\/www.glorf.it\/blog\/?p=6697"},"modified":"2012-05-02T18:50:34","modified_gmt":"2012-05-02T16:50:34","slug":"sicherheitslucken-in-software-und-die-verschwiegenheit","status":"publish","type":"post","link":"http:\/\/www.glorf.it\/blog\/2012\/05\/01\/sql-talk\/sicherheitslucken-in-software-und-die-verschwiegenheit","title":{"rendered":"Sicherheitslücken in Software und die Verschwiegenheit"},"content":{"rendered":"

\"\"Es ist gängige Praxis, dass Entdecker von Sicherheitslücken sich an den Hersteller wenden und vorerst nicht über die Lücke informieren, damit davon keine Gefährdung für die Kunden ausgeht. Erst nach dem die Lücke geschlossen wurde, stellen die Entdecker ihre Infos online. Leider kann das schon mal einige Zeit dauern.<\/p>\n

Das kann dann auch schief gehen, wie man bei Heise.de<\/a> nachlesen kann:<\/p>\n

Nach dem letzten Patchday erklärte Oracle eine schwerwiegende Lücke der Oracle Datenbank für gefixt. Der Entdecker veröffentlichte daraufhin konkrete Details mit denen man die Lücke an seinen eigenen Systemen nachvollziehen kann. Doch obwohl nahezu alle produktiven Oracle-Installationen gefährdet sind, gibt es für die gar keinen Patch \u2013 viele Oracle-Systeme stehen somit sperrangelweit offen.
\nDie von Oracle vermeldeten Sicherheits-Fixes bezogen sich ausschließlich auf das noch nicht veröffentlichte Oracle 12; aktuell verfügbar ist derzeit Oracle Database 11.2.0.3.<\/p><\/blockquote>\n

Dabei geht es um eine sehr schwerwiegende Lücke, die ein Angreifer nutzen kann, um sich Admin-Zugriff zum Oracle-System zu verschaffen. Die Lücke wurde im Jahre 2008 gemeldet und ist noch immer offen. Leider gibt es nur wenige umständliche oder teure Möglichkeiten sich dennoch zu schützen, wenn man Oracle-Nutzer Load-Balacing benötigen. Daher dürften bis zum Fix durch Oracle wohl sehr viele Systeme weiterhin anfällig für diese Angriffe sein.<\/p>\n

Bei Heise-Security<\/a> wird die Situation als sehr ernst eingeschätzt:<\/p>\n

Alexander Kornbrust, Experte für Oracle-Sicherheit bei Red-Database-Security schätzt diese Sicherheitslücke als besonders ernst ein, "weil ein Angreifer remote und ohne Kennung auf dem Datenbankserver den Netzwerkverkehr der Datenbank über einen eigenen Server umleiten und danach mitlauschen kann. Lediglich die Oracle SID beziehungsweise Oracle Servicenamen muss ihm bekannt sein."<\/p><\/blockquote>\n

Das ist schon irgendwie blöd, dass die Schwachstelle öffentlich wurde. Aber muss es wirklich sein, dass Oracle nach vier Jahren immer noch keinen Fix liefert. Ist es nicht wahrscheinlich, dass inzwischen auch noch Andere diese Lücken entdeckten und professionelle Hacker längst darüber Bescheid wussten? Laut dem Finder Joxean Koret<\/a> besteht die kritische Lücke vermutlich bereits seit 13 Jahren…<\/p>\n

Details:<\/p>\n