Abo
  • Services:

Kritik an Oracles Umgang mit Sicherheitslücken

Sicherheits-Experte veröffentlicht sechs nicht geschlossene Lücken

Alexander Kornbrust, Sicherheits-Spezialist für Oracle-Software, kritisiert den Software-Hersteller wegen dessen Umgang mit Sicherheitslücken und veröffentlichte zugleich sechs Advisories zu Sicherheitslücken in Oracle Forms und Reports, die derzeit nicht behoben sind.

Artikel veröffentlicht am ,

Er habe die nicht geschlossenen Sicherheitslücken veröffentlicht, da Oracle nach über 650 Tagen nicht in der Lage oder Willens war, diese Fehler zu korrigieren. Darunter auch nach Ansicht von Kornbrust kritische Sicherheitslücken: Eine erlaube es, den Oracle Application Server via Internet zu zerstören, indem beliebige Dateien überschrieben werden.

Stellenmarkt
  1. Omikron Data Quality GmbH, Berlin
  2. über duerenhoff GmbH, Raum Hamburg

Die jetzt von Kornbrust veröffentlichten Sicherheitslücken seien aber nur Teil seiner immer noch offenen Liste von Fehlern aus dem Jahr 2003. Eine Liste von weiteren offenen Fehlern findet sich auf den Seiten von Kornbrusts Firma Red Database Scurity.

Am 15. April 2005 habe er Oracles Security-Team darüber informiert, dass er seine Sicherheitslücken veröffentlichen werde, falls diese nicht im Juli-Patch beseitigt werden. Dieses erschien am 12. Juli 2005, behob die Fehler aber nicht. Er habe Oracle auch weitere Zeit angeboten, falls es nicht möglich sei, die Fehler in den rund drei Monaten zu korrigieren. Oracle habe ihn aber nie wegen zusätzlicher Zeit angesprochen.

Den Schritt, die Lücken zu veröffentlichen, habe er sich gut überlegt. Zwar gebe es keine Patches von Oracle, aber relativ einfache Workarounds, die vor diesen Lücken schützen.

Die einzelnen Advisories finden sich in der Liste der veröffentlichten Security Alerts unter red-database-security.com.



Anzeige
Hardware-Angebote
  1. 208,71€ für Prime-Mitglieder
  2. 99,99€ (versandkostenfrei)
  3. 103,90€

:-) 22. Jul 2005

Programmierer sind zur Zeit die letze Berufsgruppe, die noch "Kunstfehler" machen...


Folgen Sie uns
       


Cinebench R20 auf Threadripper 2950X ausprobiert

Cinebench R20 soll mit bis zu 256 Threads umgehen können.

Cinebench R20 auf Threadripper 2950X ausprobiert Video aufrufen
Sailfish X im Test: Die Android-Alternative mit ein bisschen Android
Sailfish X im Test
Die Android-Alternative mit ein bisschen Android

Seit kurzem ist Sailfish OS mit Android-Unterstützung für weitere Xperia-Smartphones von Sony verfügbar. Fünf Jahre nach unserem letzten Test wird es Zeit, dass wir uns das alternative Mobile-Betriebssystem wieder einmal anschauen und testen, wie es auf einem ursprünglichen Android-Gerät läuft.
Ein Test von Tobias Költzsch


    Microsoft: Die ganz normale, lautlose Cloud-Apokalypse
    Microsoft
    Die ganz normale, lautlose Cloud-Apokalypse

    Wenn Cloud-Dienste ausfallen, ist oft nur ein Server kaputt. Wenn aber Googles Safe-Browsing-Systeme den Zugriff auf die deutsche Microsoft Cloud komplett blockieren, liegt noch viel mehr im Argen - und das lässt für die Zukunft nichts Gutes erwarten.
    Von Sebastian Grüner

    1. Services Gemeinsames Accenture Microsoft Business arbeitet bereits
    2. Business Accenture und Microsoft gründen gemeinsame Service-Sparte
    3. AWS, Azure, Alibaba, IBM Cloud Wo die Cloud hilft - und wo nicht

    Tom Clancy's The Division 2 im Test: Richtig guter Loot-Shooter
    Tom Clancy's The Division 2 im Test
    Richtig guter Loot-Shooter

    Ubisofts neuer Online-Shooter beweist, dass komplexe Live-Spiele durchaus von Anfang an überzeugen können. Bis auf die schwache Geschichte und Gegner, denen selbst Dauerbeschuss kaum etwas anhaben kann, ist The Division 2 ein spektakuläres Spiel.
    Von Jan Bojaryn

    1. Netztest Connect Netztest urteilt trotz Funklöchern zweimal sehr gut
    2. Netztest Chip verteilt viel Lob trotz Funklöchern

      •  /