Kritik an Oracles Umgang mit Sicherheitslücken

Sicherheits-Experte veröffentlicht sechs nicht geschlossene Lücken

Alexander Kornbrust, Sicherheits-Spezialist für Oracle-Software, kritisiert den Software-Hersteller wegen dessen Umgang mit Sicherheitslücken und veröffentlichte zugleich sechs Advisories zu Sicherheitslücken in Oracle Forms und Reports, die derzeit nicht behoben sind.

Artikel veröffentlicht am ,

Er habe die nicht geschlossenen Sicherheitslücken veröffentlicht, da Oracle nach über 650 Tagen nicht in der Lage oder Willens war, diese Fehler zu korrigieren. Darunter auch nach Ansicht von Kornbrust kritische Sicherheitslücken: Eine erlaube es, den Oracle Application Server via Internet zu zerstören, indem beliebige Dateien überschrieben werden.

Stellenmarkt
  1. SAP Inhouse Consultant (m/w/d) mit Schwerpunkt Logistik Module
    Covivio Immobilien GmbH, Oberhausen
  2. Anwendungsentwicklerin / Anwendungsentwickler (m/w/d)
    Information und Technik Nordrhein-Westfalen (IT.NRW), Düsseldorf
Detailsuche

Die jetzt von Kornbrust veröffentlichten Sicherheitslücken seien aber nur Teil seiner immer noch offenen Liste von Fehlern aus dem Jahr 2003. Eine Liste von weiteren offenen Fehlern findet sich auf den Seiten von Kornbrusts Firma Red Database Scurity.

Am 15. April 2005 habe er Oracles Security-Team darüber informiert, dass er seine Sicherheitslücken veröffentlichen werde, falls diese nicht im Juli-Patch beseitigt werden. Dieses erschien am 12. Juli 2005, behob die Fehler aber nicht. Er habe Oracle auch weitere Zeit angeboten, falls es nicht möglich sei, die Fehler in den rund drei Monaten zu korrigieren. Oracle habe ihn aber nie wegen zusätzlicher Zeit angesprochen.

Den Schritt, die Lücken zu veröffentlichen, habe er sich gut überlegt. Zwar gebe es keine Patches von Oracle, aber relativ einfache Workarounds, die vor diesen Lücken schützen.

Golem Akademie
  1. PowerShell Praxisworkshop: virtueller Vier-Tage-Workshop
    20.–23. Dezember 2021, virtuell
  2. Cloud Computing mit Amazon Web Services (AWS): virtueller Drei-Tage-Workshop
    14.–16. Februar 2022, virtuell
Weitere IT-Trainings

Die einzelnen Advisories finden sich in der Liste der veröffentlichten Security Alerts unter red-database-security.com.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Giga Factory Berlin
Warum Tesla auf über eine Milliarde Euro verzichten musste

Tesla kann die Milliarde Euro Förderung für die Akkufabrik Grünheide nicht beantragen - weil es sonst zu Verzögerungen beim Einsatz neuer Technik käme.

Giga Factory Berlin: Warum Tesla auf über eine Milliarde Euro verzichten musste
Artikel
  1. Nachhaltigkeit: Kawasaki plant E-Motorräder und Wasserstoff-Verbrenner
    Nachhaltigkeit
    Kawasaki plant E-Motorräder und Wasserstoff-Verbrenner

    Kawasaki will elektrische Antriebe für seine Fahrzeuge entwickeln, 2022 sollen drei Elektromotorräder erscheinen.

  2. Black Friday 2021 - Deals am Cyber Monday bei Amazon & Co.
     
    Black Friday 2021 - Deals am Cyber Monday bei Amazon & Co.

    Nach gut drei Wochen voller Rabatte und Schnäppchen endet heute Abend mit dem Cyber Monday die Black Friday Woche.
    Ausgewählte Angebote des E-Commerce-Teams

  3. Doppelbildschirm: Kickstarterprojekt Slide brauchte 6 Jahre bis zum Erfolg
    Doppelbildschirm
    Kickstarterprojekt Slide brauchte 6 Jahre bis zum Erfolg

    Das Kickstarter-Projekt Slidenjoy kann nach 6 Jahren seinen Doppelbildschirm Slide für Notebooks ausliefern.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Black Friday Wochenende • WD Blue SN550 2 TB ab 149€ • LG UltraGear 34GP950G-B 999€ • SanDisk Ultra 3D 500 GB M.2 44€ • Boxsets (u. a. Game of Thrones Blu-ray 79,97€) • Samsung Galaxy S21 128GB 777€ • Premium-Laptops • Cooler Master V850 Platinum 189,90€ • Astro Gaming Headsets [Werbung]
    •  /