Oracle erklärte nach dem letzten Patchday eine schwerwiegende Lücke der Oracle Datenbank für gefixt. Daraufhin veröffentlichte der Entdecker konkrete Details mit denen man die Lücke an seinen eigenen Systemen nachvollziehen kann. Obwohl nahezu alle produktiven Oracle-Installationen gefährdet sind, gibt es für die gar keinen Patch. Damit stehen viele Oracle-Systeme sperrangelweit offen.

Die von Oracle vermeldeten Sicherheits-Fixes bezogen sich alle auf das noch nicht veröffentlichte Oracle 12. Somit stehen Oracle-Administratoren im Regen und müssen schleunigst handeln. Der Angriff beruht darauf, dass man standardmäßig beim Datenbank-Server weitere Cluster-Knoten registrieren kann. Ein Angreifer kann so eigene Spionage-Proxies einschleusen und deren Kommunikation beliebig mitlesen oder manipulieren.

(ez, hannover)

(siehe auch Heise News-Ticker :)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE