Categories: SicherheitSoftware

Forscher: Oracle-Datenbanken sind leicht zu hacken

Sicherheitsforscher Esteban Martinez Fayo von AppSec hat gezeigt, wie einfach sich Oracle-Datenbanken hacken lassen. Kaspersky Lab fasst seinen in Argentinien gehaltenen Vortrag zusammen. Demnach benötigt er nur fünf Stunden und ein selbst geschriebenes Werkzeug, um den Passwortschutz zu umgehen und auf Nutzerdaten zuzugreifen.

„Es ist ziemlich einfach“, sagte Martinez Fayo dem Blog Dark Reading. „Der Angreifer muss nur einen gültigen Nutzernamen der Datenbank kennen und den Namen der Datenbank selbst. Das ist alles.“ Schuld sei ein Fehler im kryptografischen Verfahren von Oracles Passwort-Authentifizierung, der einen Brute-Force-Angriff extrem vereinfache. Man benötige nicht einmal einen „Man in the Middle“, um eine Vielzahl von Nutzern vorzutäuschen – der Server stelle dem Angreifer selbst wichtige Informationen zur Verfügung.

Oracle haben der Forscher und sein Team nach ihren Angaben erstmals im Mai 2010 über das Problem informiert. Im Jahr darauf sei es behoben worden – aber nicht in der aktuellen Version, sodass 11.1 und 11.2 noch für den Angriff anfällig sind. Die kürzlich vorgestellte Version 12 wiederum enthält die Lücke nicht mehr.

Allerdings können Firmen, die die anfälligen Versionen nutzen, einen Workaround implementieren: „Schalten Sie das Protokoll in Version 11.1 aus und nutzen Sie stattdessen eine ältere Version, etwa 10g.“ Das halte er für eine extrem wichtige Maßnahme.

Im Januar hatte Oracle 78 Softwarefehler in seinen Produkten behoben, die unter anderem ein Eindringen in die Datenbank aus der Ferne ermöglichten. Daneben ist Java ein weiteres Problemkind des Konzerns. In dem Sicherheitsupdate Java 7 Update 7 wurde kürzlich wenige Stunden nach Veröffentlichung wieder eine Lücke gefunden.

[mit Material von Dara Kerr, News.com]

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

2 Stunden ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

2 Stunden ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

9 Stunden ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

1 Tag ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

1 Tag ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

1 Tag ago