26.03.2002
Am 14. März 2002, mitten in der 'unbreakable' Werbekampagne, faßten sie den CERT CA-2002-08, eine CERT Advisory bzgl. Sicherheitsproblemen, aus. Betroffen sind Systeme die die Oracle8i Database, Oracle9i Database und den Oracle9i Application Server fahren.
Diese Systeme sind einerseits durch sogenannte buffer overflow exploits, als Pufferüberläufe in der Software, die als Programmierfehler häufig Ursache für Sicherheitsprobleme sind, anfällig. Schwerer aber wiegen die Sicherheitsprobleme, die, so der CA, auch durch die 'unzureichenden Werkseinstellungen der Sicherheitskonfiguration' verursacht werden.
Oracle iAS
Betroffen sind vor allem der Oracle Application Server. Diese Transaktionskomponente bindet Webanwendungen direkt mittels PL/SQL an Oracle Datenbanken an. Die Probleme beinhalten unter anderem Buffer Overflows, unsichere Werkseinstellungen, Fehlerhafte Realisierung von Zugriffssteuerungen und fehlerhafte Eingabeüberprüfungen. Die möglichen Problembereiche sind Ausführung beliebigen Programmcodes, Denial Of Service, und unberechtigter Zugang zu gespeicherten Daten.
Lösungen
Oracle hat bereits Patches und Fixes zur Verfügung gestellt, die Oracle Kunden im Rahmen der Softwarewartung beziehen können. Anwendern die den Oracle Application Server einsetzen, wird dringend geraten, die Sicherheitserweiterungen udn Fehlerbehebungen einzuspielen.
Ebenfalls sollten die Systemeinstellungen wie von Oracle empfohlen geändert werden, um die unsicheren, vorherigen Werkseinstellungen, auszubessern.
Oracle Security Alerts
http://otn.oracle.com/deploy/security/alerts.htm
MetaLink (registration required
http://metalink.oracle.com/
CERT/Bugtraq posting
http://cert.uni-stuttgart.de/archive/bugtraq/2002/03/msg00246.htm
Weiter in der Web-Version mit Fotos, Videos, Links und mehr...