BlackHat D.C.

Oracle kämpft mit Sicherheitslücke

Der Sicherheitsforscher David Litchfield hat eine kritische Sicherheitslücke in der Datenbank von Oracle demonstriert. Patch gibt es noch keinen, der Konzern arbeitet an einem Workaround.

Oracle versucht derzeit verzweifelt eine Sicherheitslücke in Oracle 11g zu beheben. Wie Dark Reading meldet, hatte der Sicherheitsforscher David Litchfield auf der Koferenz BlackHat D.C. ein Zero-Day-Exploit vorgeführt, das es in sich hat. Ist eine Attacke erfolgreich, kann der Angreifer die eigenen Rechte ausweiten und im schlimmsten Fall die komplette Oracle-Datenbank übernehmen. Litchfield ist in diesem Bereich kein Unbekannter, der Sicherheitsexperte hat sich seit zwei Jahren auf Oracle eingeschossen und bereits mehrere Lücken gemeldet. Mit zu den Gründen, warum er sich so sehr mit Oracle beschäftigt, sei die Aussage des Oracle-Chefs Larry Ellison gewesen. Dieser hatte einmal behauptet, die Datenbanken seien unknackbar - diese Aussage sei für Litchfield wie ein rotes Tuch für einen Stier gewesen.


Der Datenbank-Hersteller will in Kürze eine E-Mail an die Nutzer senden, in dem ein Workaround für die Sicherheitslücke beschrieben wird. Ein Patch sei bereits in Arbeit. Bis dieser offiziell ausgerollt wird, sollten Administratoren zusätzliche Sicherheitsmaßnahmen einführen. Laut Josh Shaul, einem leitenden Mitarbeiter der Abteilung Application Security, kann man mit gezielten Einschränkungen der Nutzerrechte auf den verwundbaren Systemen die Angriffe deutlich erschweren. Litchfield sieht die Veröffentlichung der Lücke als eine Art Abschiedsgeschenk für Oracle. Während seiner zweijährigen Arbeit habe der Konzern seine Sicherheitsmaßnahmen deutlich verbessert, so der Forscher. (mja)