Categories: Unternehmen

Oracles PR-Gau: Interview mit dem „Unruhestifter“

ZDNet: Was ist dieses Mal passiert?

Litchfield: Dieses Jahr wollte ich über neue Oracle-Sicherheitslücken sprechen. Im Januar dieses Jahres habe ich etwa 34 Stück gefunden und im März dann entschieden, sie in meiner Rede auf der Black Hat-Konferenz zu erwähnen. Nachdem ich Oracle informiert hatte, sagten sie wieder: „Keine Bange, sie werden gepatcht sein.“ Ich habe das vor meiner Rede überprüft und wieder waren die Patches nicht verfügbar. Dieses Mal waren die Sicherheitslücken kein integraler Bestandteil meiner Rede. So konnte ich allgemein über PLS/SQL-Einträge sprechen, die es Hackern prinzipiell ermöglichen, ihren eigenen Code in eine Applikation einzuschleusen, die in PSL/SQL geschrieben ist, und weitgehende Rechte zu erlangen. Eigentlich hatte ich vor, das an einem Beispiel aus der Realität zu zeigen, da sie die Lücken aber nicht geschlossen hatten, habe ich über die allgemeinen Probleme gesprochen und die spezifischen Probleme überhaupt nicht erwähnt.

ZDNet: Sind die Sicherheitslücken allgemeine Datenbankprobleme oder mehr Oracle-spezifisch?

Litchfield: Einige der Lücken sind allgemeine Probleme, einige sind jedoch sehr Oracle-spezifisch, die meisten würde ich als kritisch einstufen. Eine ermöglicht es einem Angreifer, ohne User-ID und ohne Passwort aus der Ferne kompletten Zugriff auf die Datenbank zu erlangen. Wenn die Datenbank-Firewall also umgangen werden kann, hat der Angreifer die volle Kontrolle über den Server. Andere Lücken erlauben es Nutzern mit eingeschränkten Rechten, die komplette Kontrolle über die Datenbank zu übernehmen. Diese sind also kritisch. Einige erlauben DoS-Attacken Wenn einige Leute also Millionen Transaktionen pro Stunde verarbeiten, wird DoS zu einem großen Problem.

ZDNet: Haben Sie das Wall Street Journal mit dieser Geschichte angesprochen?

Litchfield: Nein. Nachdem ich meine Rede gehalten hatte, war David Banks vom Wall Street Journal einer der Journalisten die auf mich zukamen. In gewissem Sinne hat jede Software Sicherheitslücken, das ist nichts Neues. Was den Sturm jedoch ausgelöst hat, war, dass Oracle schon seit Monaten entsprechende Patches in der Hinterhand hat, diese bislang aber nicht veröffentlicht wurden.

Page: 1 2 3

ZDNet.de Redaktion

Recent Posts

Latrodectus: Gefährlicher Nachfolger von IcedID

Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.

2 Tagen ago

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

5 Tagen ago

Baseus Bowie 30 Max: Erste Bluetooth-Kopfhörer mit Head-Tracking-Spatial-Audio

Neue Over-Headset-Kopfhörer von Baseus bieten Raumklang-Audio und unterdrücken Störgeräusche um rund 96 Prozent.

6 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

6 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

6 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

6 Tagen ago