Oracle hat entschieden, die schwerwiegende Lücke in Database 10g und 11g nicht zu schließen, sondern es beim Workaround zu belassen. Es gebe wegen der "Natur dieses Problems" keine Pläne, einen permanenten Patch für die aktuellen Versionen der Datenbanksoftware zu erstellen.

Man müsse laut Oracle dazu große Mengen Code ändern, wobei eine erhebliche Gefahr bestehe, andere Funktionen lahmzulegen. Ausserdem sei es nicht möglich, die Installation eines solchen Patches zu automatisieren. Somit bleibt Oracles Kunden nichts anderes übrig, als den Workaround zu befolgen. Das Unternehmen will die Lücke erst mit der kommenden Version 12 schließen.

Der Datenbankserver ist für das sogenannte TNS Listener Poisoning anfällig, bei dem durch einen eingeschmuggelten Cluster-Knoten ein Angreifer die Kommunikation der Datenbank belauschen kann. Im April sind die Details über den Angriff durch ein Kommunikationsproblem zwischen Oracle und dem Entdecker der Schwachstelle bekannt geworden.

(ez, hannover)

(siehe auch Heise News-Ticker :)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE