Sicherheitsprobleme bei Datenbank

Starker Gegenwind für Oracle

11. Oktober 2007
Von Thomas Mach/CW.at
Erst unlängst war Oracle mit Vorwürfen über die Qualität seines Supports konfrontiert, nun wurde die nächste Problemstelle bekannt. Laut Security-Experten weist Oracles aktuelle Datenbank 11g gravierende Programmierfehler auf, die Datendiebstahl ermöglichen würden.

Oracle habe mit Version 11g seiner Datenbank zwar große Fortschritte gemacht, dennoch fänden sich darin viele Schwachstellen, bei denen es sich schlicht um "dumme Programmierfehler" handle, erläutert etwa Alexander Kornbrust, Managing Director bei Red Database SecuritySecurity. Nach Ansicht des Sicherheitsexperten herrscht bei der Entwicklungsmannschaft des Datenbankanbieters offenbar Schulungsbedarf, denn diese "simplen Sicherheitslecks" seien zu vermeiden. Alles zu Security auf CIO.de

Kornbrust, der Großunternehmen beim Sicherheitscheck ihrer Oracle-Datenbanken unter die Arme greift, war bei der Inspektion der Software auf SQL-Injection-Schwachstellen gestoßen. Diese ermöglichen es Angreifern, beliebigen Code auszuführen. Darüber hinaus will der Security-Spezialist eine Möglichkeit gefunden haben, die Auditing-Funktion in 11g und anderen Versionen der Datenbank zu umgehen, was es ermögliche, die Compliance-Bemühungen eines Unternehmens zu untergraben.

Datenbank mit zahlreichen Architekturschwächen

Während Kornbrust plant, über einige Oracle-Schwachstellen auf Fachkonferenzen zu referieren, will er von einer detaillierten Beschreibung seiner Methode, die Auditing-Funktion auszutricksen, absehen, bis OracleOracle das Problem behoben hat. Einige der von ihm entdeckten Probleme spiegeln dem Experten zufolge Architekturschwächen in der Oracle-Datenbank wieder. Alles zu Oracle auf CIO.de

So legte er unlängst in einem Vortrag dar, wie sich diese Schwächen ausnutzen lassen, um Oracles neueste Sicherheitswerkzeuge - darunter Oracle Database Vault und Oracle Audit Vault - auszuhebeln.