Security-Experte kritisiert Oracles Patch-Politik

Amichai Shulman von Imperva hat die gestern von Oracle veröffentlichte Patch- und Update-Sammlung sowie Oracles Vorgehen gegen Sicherheitslücken generell scharf kritisiert. „Oracle muss dringend etwas an seiner Patch-Politik tun“, so der CTO des Anbieters von Produkten für Web- und Datenbanksicherheit.

Das im Rahmen von Oracles vierteljährlichem Patch-Zyklus veröffentlichte Update stopft insgesamt 66 Sicherheitslöcher in unterschiedlichen Versionen von knapp 30 Produkten. Die schwerwiegendsten Probleme enthalten Audit Vault, JRockit, WebLogic Server und Solaris. In Oracles Datenbanken werden diesmal sieben Fehler behoben. In Fusion Middleware und Applications sind es jeweils 16. Je zwei kritische Bugs hat Oracle in den Lösungen Enterprise Manager Grid Control und Industry Applications beseitigt. Für die mit Sun übernommenen Produkte gibt es 23 Patches, zwei davon für die OpenOffice-Suite.

Insgesamt 34 der 66 geschlossenen Sicherheitslücken können Oracle zufolge ohne Nutzername und Passwort aus der Ferne ausgenutzt werden. Daher rät der Hersteller, die Aktualisierungen schnellstmöglich aufzuspielen.

„Früher hatte Oracle einen belastbaren Prozess – von der Aufnahme von Problemen, über deren Evaluierung bis hin zur Festlegung von Terminen für Fixes. Damit hat Oracle Datenbanklücken effizient beseitigt. Der vierteljährliche Patch-Zyklus für Schwachstellen in Datenbanken hat jedoch unter den zahlreichen Übernahmen und der Eingliederung der dadurch erworbenen Produkte gelitten. Ich kann einfach nicht glauben, dass pro Quartal nur ein Fix für die Datenbank kommt, obwohl es mindestens dutzende oder sogar hunderte von Schwachstellen geben muss“, so Shulman.

Als Oracle deutlich noch deutlich weniger Produkte im Portfolio hatte, seien 100 Lücken auf einmal gestopft worden. Laut Shulman ist jedoch anzunehmen, dass eine größere Anzahl an Produkten auch zahlreichere Fixes notwendig macht. „Dennoch stellen wir fest, dass die Patches kleiner werden und trotz der zusätzlichen Produkte weniger Fixes beinhalten.“

Zusätzlich verstörend sei, dass Oracle keine näheren Angaben zu den Schwachstellen mache. Die Begründung, Hacker könnten diese Angaben missbrauchen, um Exploits zu erstellen, weist Shulman als unzureichend zurück. Hacker seien darauf nicht angewiesen und könnten durch Reverse Engineering ohnehin Rückschlüsse auf die Lücken schließen. „Dadurch sind die Oracle-Kunden die einzigen, die nicht wissen, was eigentlich geschieht.“

Ohne dieses Wissen seien sie aber nicht in der Lage, einen Workaround für ihre Produktionsumgebung zu entwickeln. „Mir fällt es aber schwer zu glauben, dass Firmen kritische Anwendungen patchen, ohne die Auswirkungen vorher ausführlich getestet zu haben“, sagt Shulman. „Dieser Mangel an Transparenz ist unverschämt. Hersteller erwarten von Sicherheitsforschern, dass sie mit sensiblen Informationen verantwortungsvoll umgehen und diese den Herstellern frühzeitig mitteilen. Selbst verhalten sie sich aber Sicherheitsanbietern und Kunden gegenüber völlig anders.“