Oracle ignoriert kritische Fehler

Sechs teilweise kritische Löcher in Oracle-Datenbanken hat jetzt das deutsche Sicherheitsunternehmen Red-Database-Security veröffentlicht. Das Neunkirchner Unternehmen ist ausschließlich auf Sicherheit in Oracle-Datenbanken spezialisiert und beklagt, dass die Fehler teilweise seit über 700 Tagen bekannt sind, vom Hersteller aber keine Patches kommen. Über verschiedene Workarounds ließen sich aber manche Risiken minimieren.

Ein Fehler, den der Sicherheitsspezialist als hochkritisch einstuft, betrifft ‘Oracle Reports’, ein Reporting-Tool für Unternehmens-Anwendungen. Hat der Parameter ‘desname’ einen bestimmten Wert, kann Oracle Reports jede beliebige Datei auf dem Applikationsserver überschreiben. Im September 2003 hatte Oracle den Fehler bereits bestätigt. Alexander Kornbrust, Gründer und CEO von Red-Database-Security, schließt daraus, dass Oracle offenbar nicht interessiert ist, die Fehler zu beheben. Weitere Löcher finden sich  in ‘Oracle Forms’, einem Teil der Entwicklersuite von Oracle.

“Mindestens einer dieser Fehler kann von jedem Angreifer aus dem Internet genutzt werden”, bestätigt Kornbrust in einem Interview in amerikanischen Medien. Es sei für die Anwender nicht akzeptabel, derart lange auf einen Patch warten zu müssen. Er wisse, dass Oracle-Produkte komplex seien und Patches von guter Qualität länger für die Entwicklung benötigen. “Daher habe ich Oracle zusätzlich Zeit angeboten.” Der Hersteller aber habe keinen Aufschub gewünscht.