Amichai Shulman von Imperva hat die gestern von Oracle veröffentlichte Patch- und Update-Sammlung sowie Oracles Vorgehen gegen Sicherheitslücken generell scharf kritisiert. „Oracle muss dringend etwas an seiner Patch-Politik tun“, so der CTO des Anbieters von Produkten für Web- und Datenbanksicherheit.
Das im Rahmen von Oracles vierteljährlichem Patch-Zyklus veröffentlichte Update stopft insgesamt 66 Sicherheitslöcher in unterschiedlichen Versionen von knapp 30 Produkten. Die schwerwiegendsten Probleme enthalten Audit Vault, JRockit, WebLogic Server und Solaris. In Oracles Datenbanken werden diesmal sieben Fehler behoben. In Fusion Middleware und Applications sind es jeweils 16. Je zwei kritische Bugs hat Oracle in den Lösungen Enterprise Manager Grid Control und Industry Applications beseitigt. Für die mit Sun übernommenen Produkte gibt es 23 Patches, zwei davon für die OpenOffice-Suite.
Insgesamt 34 der 66 geschlossenen Sicherheitslücken können Oracle zufolge ohne Nutzername und Passwort aus der Ferne ausgenutzt werden. Daher rät der Hersteller, die Aktualisierungen schnellstmöglich aufzuspielen.
„Früher hatte Oracle einen belastbaren Prozess – von der Aufnahme von Problemen, über deren Evaluierung bis hin zur Festlegung von Terminen für Fixes. Damit hat Oracle Datenbanklücken effizient beseitigt. Der vierteljährliche Patch-Zyklus für Schwachstellen in Datenbanken hat jedoch unter den zahlreichen Übernahmen und der Eingliederung der dadurch erworbenen Produkte gelitten. Ich kann einfach nicht glauben, dass pro Quartal nur ein Fix für die Datenbank kommt, obwohl es mindestens dutzende oder sogar hunderte von Schwachstellen geben muss“, so Shulman.
Als Oracle deutlich noch deutlich weniger Produkte im Portfolio hatte, seien 100 Lücken auf einmal gestopft worden. Laut Shulman ist jedoch anzunehmen, dass eine größere Anzahl an Produkten auch zahlreichere Fixes notwendig macht. „Dennoch stellen wir fest, dass die Patches kleiner werden und trotz der zusätzlichen Produkte weniger Fixes beinhalten.“
Zusätzlich verstörend sei, dass Oracle keine näheren Angaben zu den Schwachstellen mache. Die Begründung, Hacker könnten diese Angaben missbrauchen, um Exploits zu erstellen, weist Shulman als unzureichend zurück. Hacker seien darauf nicht angewiesen und könnten durch Reverse Engineering ohnehin Rückschlüsse auf die Lücken schließen. „Dadurch sind die Oracle-Kunden die einzigen, die nicht wissen, was eigentlich geschieht.“
Ohne dieses Wissen seien sie aber nicht in der Lage, einen Workaround für ihre Produktionsumgebung zu entwickeln. „Mir fällt es aber schwer zu glauben, dass Firmen kritische Anwendungen patchen, ohne die Auswirkungen vorher ausführlich getestet zu haben“, sagt Shulman. „Dieser Mangel an Transparenz ist unverschämt. Hersteller erwarten von Sicherheitsforschern, dass sie mit sensiblen Informationen verantwortungsvoll umgehen und diese den Herstellern frühzeitig mitteilen. Selbst verhalten sie sich aber Sicherheitsanbietern und Kunden gegenüber völlig anders.“
Lösung soll den Aufbau des EuroStacks unterstützen, der Europas souveräne digitale Infrastruktur werden soll.
Auszeichnung unterstreicht das Engagement von FlexiSpot für nachhaltiges und ergonomisches Design sowie seinen Beitrag zur…
Der Büro- und Gamerstuhl erkennt Gewicht der Nutzer und unterstützt Lendenwirbel und Nacken in jeder…
Der Analyst Ming-Chi Kuo geht von einem Preis zwischen 2000 und 2500 Dollar aus. Trotzdem…
Kaspersky meldet starke Zunahme mobiler Banking-Trojaner. Insgesamt 33,3 Millionen Angriffe auf mobile Nutzer im Jahr…
Optische Schalter mit Flüssigkristallspiegeln sollen die Datenpakete so stark verkleinern, dass mehr Daten durchs Netz…