Abo
  • Services:
Anzeige

Kritik an Oracles Umgang mit Sicherheitslücken

Sicherheits-Experte veröffentlicht sechs nicht geschlossene Lücken

Alexander Kornbrust, Sicherheits-Spezialist für Oracle-Software, kritisiert den Software-Hersteller wegen dessen Umgang mit Sicherheitslücken und veröffentlichte zugleich sechs Advisories zu Sicherheitslücken in Oracle Forms und Reports, die derzeit nicht behoben sind.

Er habe die nicht geschlossenen Sicherheitslücken veröffentlicht, da Oracle nach über 650 Tagen nicht in der Lage oder Willens war, diese Fehler zu korrigieren. Darunter auch nach Ansicht von Kornbrust kritische Sicherheitslücken: Eine erlaube es, den Oracle Application Server via Internet zu zerstören, indem beliebige Dateien überschrieben werden.

Anzeige

Die jetzt von Kornbrust veröffentlichten Sicherheitslücken seien aber nur Teil seiner immer noch offenen Liste von Fehlern aus dem Jahr 2003. Eine Liste von weiteren offenen Fehlern findet sich auf den Seiten von Kornbrusts Firma Red Database Scurity.

Am 15. April 2005 habe er Oracles Security-Team darüber informiert, dass er seine Sicherheitslücken veröffentlichen werde, falls diese nicht im Juli-Patch beseitigt werden. Dieses erschien am 12. Juli 2005, behob die Fehler aber nicht. Er habe Oracle auch weitere Zeit angeboten, falls es nicht möglich sei, die Fehler in den rund drei Monaten zu korrigieren. Oracle habe ihn aber nie wegen zusätzlicher Zeit angesprochen.

Den Schritt, die Lücken zu veröffentlichen, habe er sich gut überlegt. Zwar gebe es keine Patches von Oracle, aber relativ einfache Workarounds, die vor diesen Lücken schützen.

Die einzelnen Advisories finden sich in der Liste der veröffentlichten Security Alerts unter red-database-security.com.


eye home zur Startseite
:-) 22. Jul 2005

Programmierer sind zur Zeit die letze Berufsgruppe, die noch "Kunstfehler" machen...



Anzeige

Stellenmarkt
  1. ZF Friedrichshafen AG, Passau
  2. über Robert Half Technology, Stuttgart
  3. SCHEMA Holding GmbH, Nürnberg
  4. über Robert Half Technology, Dortmund


Anzeige
Hardware-Angebote
  1. (Core i5-6500 + Geforce GTX 1060)
  2. 114,90€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mit digitalen Workflows Geschäftsprozesse agiler machen
  2. Kritische Bereiche der IT-Sicherheit in Unternehmen
  3. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. NBase-T alias 802.3bz

    2.5GbE und 5GbE sind offizieller IEEE-Standard

  2. Samsung-Rückrufaktion

    Bereits 60 Prozent der Note-7-Geräte in Europa ausgetauscht

  3. Mavic Pro

    DJI stellt klappbaren 4K-Quadcopter für 1.200 US-Dollar vor

  4. Streamripper

    Musikindustrie will Youtube-mp3.org zerstören

  5. Jupitermond

    Nasa beobachtet Wasserdampf auf Europa

  6. Regierung

    Wie die Telekom bei Merkel ihre Interessen durchsetzt

  7. Embedded Radeon E9550

    AMD packt Polaris in 4K-Spieleautomaten

  8. Pay-TV

    Ultra-HD-Programm von Sky startet im Oktober

  9. Project Catapult

    Microsoft setzt massiv auf FPGAs

  10. Kabel

    Vodafone deckt mit 400 MBit/s fünf Millionen Haushalte ab



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Recruiting: Uni-Abschluss ist nicht mehr das Wichtigste
Recruiting
Uni-Abschluss ist nicht mehr das Wichtigste
  1. Friends Conrad vermittelt Studenten für Serviceleistungen
  2. IT-Jobs Bayerische Firmen finden nicht genügend Programmierer
  3. Fest angestellt Wie viele Informatiker es in Deutschland gibt

MacOS 10.12 im Test: Sierra - Schreck mit System
MacOS 10.12 im Test
Sierra - Schreck mit System
  1. MacOS 10.12 Fujitsu warnt vor der Nutzung von Scansnap unter Sierra
  2. MacOS 10.12 Sierra fungiert als alleiniges Sicherheitsupdate für OS X
  3. MacOS Sierra und iOS 10 Apple schmeißt unsichere Krypto raus

Mi Notebook Air im Test: Xiaomis geglückte Notebook-Premiere
Mi Notebook Air im Test
Xiaomis geglückte Notebook-Premiere
  1. Mi Notebook Air Xiaomi steigt mit Kampfpreisen ins Notebook-Geschäft ein
  2. Xiaomi Mi Band 2 im Hands on Fitness-Preisbrecher mit Hack-App
  3. Xiaomi Hugo Barra verkündet Premium-Smartphone

  1. Re: 22.000

    ArcherV | 19:16

  2. Hört sich nach viel an, ist es aber nicht

    Vanger | 19:14

  3. Re: Fand solche Dienste eh etwas sinnlos

    amagol | 19:14

  4. Re: 20GiB ?

    Sequeezer | 19:14

  5. Re: warum streamripper und nicht google?

    DAUVersteher | 19:13


  1. 18:35

  2. 18:03

  3. 17:50

  4. 17:41

  5. 15:51

  6. 15:35

  7. 15:00

  8. 14:18


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel