Compliance: Oracle lässt Firmen im Regen stehen

Bereits seit einiger Zeit legt das US-Unternehmen Next Generation Security Software (NGSS) den Finger auf offene Oracle-Datenbanken-Wunden. Auf das Drängen von Sicherheitsexperte David Litchfield hat der Datenbankkonzern zwar inzwischen sein jüngstes Patch gepatcht, doch NGSS legt jetzt mit einer breit angelegten Untersuchung nach. Die meisten User wähnten sich in falscher Sicherheit und könnten so schnell in Konflikt mit Compliance-Regelungen kommen, so Litchfield.

Nach seinen Worten gibt es bei über drei Vierteln von rund 100 untersuchten Datenbankservern eine niederschmetternde Diskrepanz zwischen dem angenommenen und dem tatsächlichen Patch-Level. Größe und Branchenzugehörigkeit der Firmen spielten dabei keine Rolle. “Nicht die Anwender machen etwas falsch. Es sind die Tools selbst, die fehlerhaft sind”, sagt Litchfield.

So würden Oracles “CPUs” (Critical Patch Updates) zeitweise dabei scheitern, Updates oder gefixte Kopien und Dateien zu installieren. Sowohl die April- als auch die Juli-CPUs seien in vielfacher Hinsicht fehlerhaft. Viele anderen Probleme seien mit Oracles Dienstprogramm ‘Opatch’ verbunden. Es melde beispielsweise “Opatch succeeded”, obwohl notwendige Zusatzinstallationen – beispielsweise PL/SQL-Pakete oder Java-Dateien – noch nicht durchgeführt wurden.

Das sei vor allem für Universitäten gefährlich, weil sie oft ihre Server im Internet zur Verfügung stellen würden. Ein SQL-Angriff via Web-Applikationen könne so auch Oracle-Datenbank-Server im Backend treffen. IDC-Analyst Carl Olofson sieht dennoch keinen Grund zur Besorgnis. Er habe noch nie von einem solchen Angriff gehört. “Es gibt eine Gefährdung. Egal, was Oracle die Anwender glauben machen will”, beharrt dagegen Litchfield.