Security-Experte kritisiert Oracles Patch-Politik


Amichai Shulman, CTO des IT-Security-Anbieters Imperva (Bild: Imperva).

Amichai Shulman von Imperva hat die gestern von Oracle veröffentlichte Patch- und Update-Sammlung sowie Oracles Vorgehen gegen Sicherheitslücken generell scharf kritisiert. „Oracle muss dringend etwas an seiner Patch-Politik tun“, so der CTO des Anbieters von Produkten für Web- und Datenbanksicherheit.

Das im Rahmen von Oracles vierteljährlichem Patch-Zyklus veröffentlichte Update stopft insgesamt 66 Sicherheitslöcher in unterschiedlichen Versionen von knapp 30 Produkten. Die schwerwiegendsten Probleme enthalten Audit Vault, JRockit, WebLogic Server und Solaris. In Oracles Datenbanken werden diesmal sieben Fehler behoben. In Fusion Middleware und Applications sind es jeweils 16. Je zwei kritische Bugs hat Oracle in den Lösungen Enterprise Manager Grid Control und Industry Applications beseitigt. Für die mit Sun übernommenen Produkte gibt es 23 Patches, zwei davon für die OpenOffice-Suite.

Insgesamt 34 der 66 geschlossenen Sicherheitslücken können Oracle zufolge ohne Nutzername und Passwort aus der Ferne ausgenutzt werden. Daher rät der Hersteller, die Aktualisierungen schnellstmöglich aufzuspielen.

„Früher hatte Oracle einen belastbaren Prozess – von der Aufnahme von Problemen, über deren Evaluierung bis hin zur Festlegung von Terminen für Fixes. Damit hat Oracle Datenbanklücken effizient beseitigt. Der vierteljährliche Patch-Zyklus für Schwachstellen in Datenbanken hat jedoch unter den zahlreichen Übernahmen und der Eingliederung der dadurch erworbenen Produkte gelitten. Ich kann einfach nicht glauben, dass pro Quartal nur ein Fix für die Datenbank kommt, obwohl es mindestens dutzende oder sogar hunderte von Schwachstellen geben muss“, so Shulman.

Als Oracle deutlich noch deutlich weniger Produkte im Portfolio hatte, seien 100 Lücken auf einmal gestopft worden. Laut Shulman ist jedoch anzunehmen, dass eine größere Anzahl an Produkten auch zahlreichere Fixes notwendig macht. „Dennoch stellen wir fest, dass die Patches kleiner werden und trotz der zusätzlichen Produkte weniger Fixes beinhalten.“

Zusätzlich verstörend sei, dass Oracle keine näheren Angaben zu den Schwachstellen mache. Die Begründung, Hacker könnten diese Angaben missbrauchen, um Exploits zu erstellen, weist Shulman als unzureichend zurück. Hacker seien darauf nicht angewiesen und könnten durch Reverse Engineering ohnehin Rückschlüsse auf die Lücken schließen. „Dadurch sind die Oracle-Kunden die einzigen, die nicht wissen, was eigentlich geschieht.“

Ohne dieses Wissen seien sie aber nicht in der Lage, einen Workaround für ihre Produktionsumgebung zu entwickeln. „Mir fällt es aber schwer zu glauben, dass Firmen kritische Anwendungen patchen, ohne die Auswirkungen vorher ausführlich getestet zu haben“, sagt Shulman. „Dieser Mangel an Transparenz ist unverschämt. Hersteller erwarten von Sicherheitsforschern, dass sie mit sensiblen Informationen verantwortungsvoll umgehen und diese den Herstellern frühzeitig mitteilen. Selbst verhalten sie sich aber Sicherheitsanbietern und Kunden gegenüber völlig anders.“

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago