Der Sicherheitsexperte David Litchfield hatte auf der jüngsten Blackhat-Konferenz in Las Vegas einen Zero-Day-Exploit in Oracles Datenbankserver vorgestellt. Nun schloss Oracle diese Lücke mit einem Patch außer der Reihe. Es sind die Server-Versionen 10.2.0.3, 10.2.0.4, 10.2.0.5, 11.1.0.7, 11.2.0.2 und 11.2.0.3 betroffen. Für die beiden letzten enthielt das Patch-Update von Juli 2012 bereits eine Korrektur.

Der Fehler erlaubt es, Angreifern die Privilegien eines SYSDBA-Benutzers zu erlangen. Dafür benötigen sie sowohl Benutzernamen und Passwort als auch die Privilegien CREATE TABLE, CREATE PROCEDURE und EXECUTE für das Paket DBMS_STATS. Ausserdem muss das Paket Oracle Text installiert sein. Den als CVE-2012-3132 katalogisierten Fehler beschreibt Oracle nur sehr allgemein.

Da bereits Exploits für die Lücke öffentlich verfügbar seien, empfiehlt Oracle, den bereitgestellten Patch so schnell wie möglich einzuspielen. Zwar könne der Fehler auch in älteren, nicht mehr unterstützten Versionen existieren, für diese werde es jedoch keinen Fix geben.

(ez, hannover)

(siehe auch Heise News-Ticker :)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE