Anzeige

Kritik an Oracles Umgang mit Sicherheitslücken

Sicherheits-Experte veröffentlicht sechs nicht geschlossene Lücken

Alexander Kornbrust, Sicherheits-Spezialist für Oracle-Software, kritisiert den Software-Hersteller wegen dessen Umgang mit Sicherheitslücken und veröffentlichte zugleich sechs Advisories zu Sicherheitslücken in Oracle Forms und Reports, die derzeit nicht behoben sind.

Anzeige

Er habe die nicht geschlossenen Sicherheitslücken veröffentlicht, da Oracle nach über 650 Tagen nicht in der Lage oder Willens war, diese Fehler zu korrigieren. Darunter auch nach Ansicht von Kornbrust kritische Sicherheitslücken: Eine erlaube es, den Oracle Application Server via Internet zu zerstören, indem beliebige Dateien überschrieben werden.

Die jetzt von Kornbrust veröffentlichten Sicherheitslücken seien aber nur Teil seiner immer noch offenen Liste von Fehlern aus dem Jahr 2003. Eine Liste von weiteren offenen Fehlern findet sich auf den Seiten von Kornbrusts Firma Red Database Scurity.

Am 15. April 2005 habe er Oracles Security-Team darüber informiert, dass er seine Sicherheitslücken veröffentlichen werde, falls diese nicht im Juli-Patch beseitigt werden. Dieses erschien am 12. Juli 2005, behob die Fehler aber nicht. Er habe Oracle auch weitere Zeit angeboten, falls es nicht möglich sei, die Fehler in den rund drei Monaten zu korrigieren. Oracle habe ihn aber nie wegen zusätzlicher Zeit angesprochen.

Den Schritt, die Lücken zu veröffentlichen, habe er sich gut überlegt. Zwar gebe es keine Patches von Oracle, aber relativ einfache Workarounds, die vor diesen Lücken schützen.

Die einzelnen Advisories finden sich in der Liste der veröffentlichten Security Alerts unter red-database-security.com.


eye home zur Startseite
:-) 22. Jul 2005

Programmierer sind zur Zeit die letze Berufsgruppe, die noch "Kunstfehler" machen...

pcaputnic 21. Jul 2005

ah ja und wenn ma nix weis soll mann nicht gleich schimpfen, andere möglichkeiten warum...

:-( 21. Jul 2005

Wenn normale User ihren PC nicht beherrschen, dann mag das eine traurige Tatsache sein...

Kommentieren



Anzeige

  1. IT-Komponentenverantwortlich- e/r für Backupsysteme
    Landeshauptstadt München, München
  2. Anwendungsentwickler (m/w) i.s.h.med / COPRA6
    Universitätsmedizin der Johannes Gutenberg-Universität Mainz, Mainz
  3. Flash-Ingenieur / ICT-Ingenieur (m/w)
    Preh GmbH, Bad Neustadt (Saale)
  4. Softwareentwickler (m/w) C++
    CST - Computer Simulation Technology AG, Darmstadt

Detailsuche



Anzeige
Hardware-Angebote
  1. Asus-Mainboard oder Monitor kaufen und DOOM gratis erhalten
  2. TIPP: Alternate Schnäppchen Outlet
    (täglich neue Deals)
  3. TIPP: Amazon-Sale
    (reduzierte Überstände, Restposten & Co.)

Weitere Angebote


Folgen Sie uns
       


  1. Zum Weltnichtrauchertag

    BSI warnt vor Malware in E-Zigaretten

  2. Analoges Radio

    UKW-Sendeanlage bei laufendem Betrieb umgezogen

  3. Kernel

    Linux 4.7-rc1 unterstützt AMDs Polaris

  4. Fehler in Blogsystem

    200.000 Zugangsdaten von SZ-Magazin kopiert

  5. Aufräumen von Prozessen beim Logout

    Systemd-Neuerung sorgt für Nutzerkontroversen

  6. Overwatch im Test

    Superhelden ohne Sammelsucht

  7. Mobilfunk

    Wirtschaftssenatorin will 5G-Testbed in Berlin durchsetzen

  8. Streit der Tech-Milliardäre

    Ebay-Gründer unterstützt Gawker im Streit mit Hulk Hogan

  9. Siri-Lautsprecher

    Apple setzt auf Horch und Guck

  10. Soylent-Flüssignahrung

    Die Freiheit, nicht ans Essen zu denken



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Oracle vs. Google: Wie man Geschworene am besten verwirrt
Oracle vs. Google
Wie man Geschworene am besten verwirrt
  1. Die Woche im Video Die Schoko-Burger-Woche bei Golem.de - mmhhhh!
  2. Java-Rechtsstreit Oracle verliert gegen Google
  3. Oracle vs. Google Wie viel Fair Use steckt in 11.000 Codezeilen?

GPD XD im Test: Zwischen Nintendo 3DS und PS Vita ist noch Platz
GPD XD im Test
Zwischen Nintendo 3DS und PS Vita ist noch Platz
  1. Xbox Scorpio Schneller als Playstation Neo und mit Rift-Unterstützung
  2. Playstation 4 Rennstart für Gran Turismo Sport im November 2016
  3. AMD Drei Konsolen-Chips für 2017 angekündigt

Intels Compute Stick im Test: Der mit dem Lüfter streamt (2)
Intels Compute Stick im Test
Der mit dem Lüfter streamt (2)
  1. Security Microsoft will Passwort 'Passwort' verbieten
  2. Stratix 10 MX Alteras Chips nutzen HBM2 und Intels Interposer-Technik
  3. HBM2 eSilicon zeigt 14LPP-Design mit High Bandwidth Memory

  1. Re: Tickrate

    TheUnichi | 18:08

  2. Re: Und wenn man zu langsam fährt?

    DjNorad | 18:08

  3. Re: Einfach: Ich arbeite viel und habe JETZT Hunger

    strahler | 18:08

  4. Re: Zwei GPO's und im Unternehmen gibt es weniger...

    SoniX | 18:07

  5. Re: Vor Abschaltung von UKW

    ManMashine | 18:07


  1. 17:41

  2. 16:36

  3. 16:29

  4. 15:57

  5. 15:15

  6. 14:00

  7. 13:28

  8. 13:08


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel