Categories: Unternehmen

Oracles PR-Gau: Interview mit dem „Unruhestifter“

ZDNet: Was ist dieses Mal passiert?

Litchfield: Dieses Jahr wollte ich über neue Oracle-Sicherheitslücken sprechen. Im Januar dieses Jahres habe ich etwa 34 Stück gefunden und im März dann entschieden, sie in meiner Rede auf der Black Hat-Konferenz zu erwähnen. Nachdem ich Oracle informiert hatte, sagten sie wieder: „Keine Bange, sie werden gepatcht sein.“ Ich habe das vor meiner Rede überprüft und wieder waren die Patches nicht verfügbar. Dieses Mal waren die Sicherheitslücken kein integraler Bestandteil meiner Rede. So konnte ich allgemein über PLS/SQL-Einträge sprechen, die es Hackern prinzipiell ermöglichen, ihren eigenen Code in eine Applikation einzuschleusen, die in PSL/SQL geschrieben ist, und weitgehende Rechte zu erlangen. Eigentlich hatte ich vor, das an einem Beispiel aus der Realität zu zeigen, da sie die Lücken aber nicht geschlossen hatten, habe ich über die allgemeinen Probleme gesprochen und die spezifischen Probleme überhaupt nicht erwähnt.

ZDNet: Sind die Sicherheitslücken allgemeine Datenbankprobleme oder mehr Oracle-spezifisch?

Litchfield: Einige der Lücken sind allgemeine Probleme, einige sind jedoch sehr Oracle-spezifisch, die meisten würde ich als kritisch einstufen. Eine ermöglicht es einem Angreifer, ohne User-ID und ohne Passwort aus der Ferne kompletten Zugriff auf die Datenbank zu erlangen. Wenn die Datenbank-Firewall also umgangen werden kann, hat der Angreifer die volle Kontrolle über den Server. Andere Lücken erlauben es Nutzern mit eingeschränkten Rechten, die komplette Kontrolle über die Datenbank zu übernehmen. Diese sind also kritisch. Einige erlauben DoS-Attacken Wenn einige Leute also Millionen Transaktionen pro Stunde verarbeiten, wird DoS zu einem großen Problem.

ZDNet: Haben Sie das Wall Street Journal mit dieser Geschichte angesprochen?

Litchfield: Nein. Nachdem ich meine Rede gehalten hatte, war David Banks vom Wall Street Journal einer der Journalisten die auf mich zukamen. In gewissem Sinne hat jede Software Sicherheitslücken, das ist nichts Neues. Was den Sturm jedoch ausgelöst hat, war, dass Oracle schon seit Monaten entsprechende Patches in der Hinterhand hat, diese bislang aber nicht veröffentlicht wurden.

Page: 1 2 3

ZDNet.de Redaktion

Recent Posts

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

2 Tagen ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

2 Tagen ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

2 Tagen ago

Internet-Tempo in Deutschland: Viel Luft nach oben

Höchste Zeit für eine schnelle Kupfer-Glas-Migration. Bis 2030 soll in Deutschland Glasfaser flächendeckend ausgerollt sein.

2 Tagen ago

Erste Entwickler-Preview von Android 16 verfügbar

Schon im April 2025 soll Android 16 den Status Plattformstabilität erreichen. Entwicklern gibt Google danach…

2 Tagen ago

Kaspersky warnt vor Cyberangriff auf PyPI-Lieferkette

Die Hintermänner setzen KI-Chatbot-Tools als Köder ein. Opfer fangen sich den Infostealer JarkaStealer ein.

3 Tagen ago