Oracle habe mit Version 11g seiner Datenbank zwar große Fortschritte gemacht, dennoch fänden sich darin viele Schwachstellen, bei denen es sich schlicht um "dumme Programmierfehler" handle, erläutert etwa Alexander Kornbrust, Managing Director bei Red Database Security. Nach Ansicht des Sicherheitsexperten herrscht bei der Entwicklungsmannschaft des Datenbankanbieters offenbar Schulungsbedarf, denn diese "simplen Sicherheitslecks" seien zu vermeiden.
Kornbrust, der Großunternehmen beim Sicherheitscheck ihrer Oracle-Datenbanken unter die Arme greift, war bei der Inspektion der Software auf SQL-Injection-Schwachstellen gestoßen. Diese ermöglichen es Angreifern, beliebigen Code auszuführen. Darüber hinaus will der Security-Spezialist eine Möglichkeit gefunden haben, die Auditing-Funktion in 11g und anderen Versionen der Datenbank zu umgehen, was es ermögliche, die Compliance-Bemühungen eines Unternehmens zu untergraben.
Datenbank mit zahlreichen Architekturschwächen
Während Kornbrust plant, über einige Oracle-Schwachstellen auf Fachkonferenzen zu referieren, will er von einer detaillierten Beschreibung seiner Methode, die Auditing-Funktion auszutricksen, absehen, bis Oracle das Problem behoben hat. Einige der von ihm entdeckten Probleme spiegeln dem Experten zufolge Architekturschwächen in der Oracle-Datenbank wieder.
So legte er unlängst in einem Vortrag dar, wie sich diese Schwächen ausnutzen lassen, um Oracles neueste Sicherheitswerkzeuge - darunter Oracle Database Vault und Oracle Audit Vault - auszuhebeln.
Aufgrund der kritischen Rolle, die die Oracle-Datenbank für das Geschäft großer Unternehmen spiele sowie des breiten Spektrums der von Oracle unterstützten Plattformen können die Kosten für die Behebung eines darin befindlichen Sicherheitslecks beträchtlich sein, so Kornbrust. Am Beispiel eines deutschen Unternehmens, das 8.000 Oracle-Datenbanken betreibt, rechnet der Experte vor, dass für den Rollout eines einzigen Patches bis zu 32.000 Arbeitsstunden beziehungsweise vier Stunden pro Datenbank anfallen können. "Das entspricht 60 ganztags beschäftigten Datenbank-Administratoren" - wobei Zeit und Kosten, die das Testen des Patches auf jeder Datenbank erfordere, noch nicht berücksichtigt seien.
Überdies müsse Oracle für jede zu flickende Sicherheitslücke einen eigenen Patch für jede unterstützte Datenbankversion sowie jede Hardware-Plattform und jedes Betriebssystem, auf der die Software läuft, entwickeln. Unterm Strich, so Kornbrust, summiere sich dies auf rund 100 separate Patches pro Schwachstelle.