Willkommen bei WCM
Um alle Funktionen dieser Website nutzen zu können müssen Sie sich Einloggen oder Registrieren. Die Registrierung ist unverbindlich und dauert nur einen Moment.
Network & Solutions
Oracle -- unbreakable... oder doch nicht?
Veröffentlicht am 26.03.2002 00:00:00
Oracle, die in ihrer Werbekampagne ihren Datenbankserver und ihre Transaktionssysteme als 'unbreakable', also unzerbrechlich und zugleich auch einbruchssicher, anpreisen, haben trotzdem auch ihre Schwachstellen. Am 14. März 2002, mitten in der 'unbreakable' Werbekampagne, faßten sie den CERT CA-2002-08, eine CERT Advisory bzgl. Sicherheitsproblemen, aus. Betroffen sind Systeme die die Oracle8i Database, Oracle9i Database und den Oracle9i Application Server fahren. Diese Systeme sind einerseits durch sogenannte buffer overflow exploits, als Pufferüberläufe in der Software, die als Programmierfehler häufig Ursache für Sicherheitsprobleme sind, anfällig. Schwerer aber wiegen die Sicherheitsprobleme, die, so der CA, auch durch die 'unzureichenden Werkseinstellungen der Sicherheitskonfiguration' verursacht werden.
Oracle iAS
Betroffen sind vor allem der Oracle Application Server. Diese Transaktionskomponente bindet Webanwendungen direkt mittels PL/SQL an Oracle Datenbanken an. Die Probleme beinhalten unter anderem Buffer Overflows, unsichere Werkseinstellungen, Fehlerhafte Realisierung von Zugriffssteuerungen und fehlerhafte Eingabeüberprüfungen. Die möglichen Problembereiche sind Ausführung beliebigen Programmcodes, Denial Of Service, und unberechtigter Zugang zu gespeicherten Daten.
Lösungen
Oracle hat bereits Patches und Fixes zur Verfügung gestellt, die Oracle Kunden im Rahmen der Softwarewartung beziehen können. Anwendern die den Oracle Application Server einsetzen, wird dringend geraten, die Sicherheitserweiterungen udn Fehlerbehebungen einzuspielen.
Ebenfalls sollten die Systemeinstellungen wie von Oracle empfohlen geändert werden, um die unsicheren, vorherigen Werkseinstellungen, auszubessern.
Oracle Security Alerts
http://otn.oracle.com/deploy/security/alerts.htm
MetaLink (registration required
http://metalink.oracle.com/
CERT/Bugtraq posting
http://cert.uni-stuttgart.de/archive/bugtraq/2002/03/msg00246.htm
Veröffentlicht am 26.03.2002 00:00:00
Oracle, die in ihrer Werbekampagne ihren Datenbankserver und ihre Transaktionssysteme als 'unbreakable', also unzerbrechlich und zugleich auch einbruchssicher, anpreisen, haben trotzdem auch ihre Schwachstellen. Am 14. März 2002, mitten in der 'unbreakable' Werbekampagne, faßten sie den CERT CA-2002-08, eine CERT Advisory bzgl. Sicherheitsproblemen, aus. Betroffen sind Systeme die die Oracle8i Database, Oracle9i Database und den Oracle9i Application Server fahren. Diese Systeme sind einerseits durch sogenannte buffer overflow exploits, als Pufferüberläufe in der Software, die als Programmierfehler häufig Ursache für Sicherheitsprobleme sind, anfällig. Schwerer aber wiegen die Sicherheitsprobleme, die, so der CA, auch durch die 'unzureichenden Werkseinstellungen der Sicherheitskonfiguration' verursacht werden.
Oracle iAS
Betroffen sind vor allem der Oracle Application Server. Diese Transaktionskomponente bindet Webanwendungen direkt mittels PL/SQL an Oracle Datenbanken an. Die Probleme beinhalten unter anderem Buffer Overflows, unsichere Werkseinstellungen, Fehlerhafte Realisierung von Zugriffssteuerungen und fehlerhafte Eingabeüberprüfungen. Die möglichen Problembereiche sind Ausführung beliebigen Programmcodes, Denial Of Service, und unberechtigter Zugang zu gespeicherten Daten.
Lösungen
Oracle hat bereits Patches und Fixes zur Verfügung gestellt, die Oracle Kunden im Rahmen der Softwarewartung beziehen können. Anwendern die den Oracle Application Server einsetzen, wird dringend geraten, die Sicherheitserweiterungen udn Fehlerbehebungen einzuspielen.
Ebenfalls sollten die Systemeinstellungen wie von Oracle empfohlen geändert werden, um die unsicheren, vorherigen Werkseinstellungen, auszubessern.
Oracle Security Alerts
http://otn.oracle.com/deploy/security/alerts.htm
MetaLink (registration required
http://metalink.oracle.com/
CERT/Bugtraq posting
http://cert.uni-stuttgart.de/archive/bugtraq/2002/03/msg00246.htm
« Apache 1.3.24 · Oracle -- unbreakable... oder doch nicht?
· AMD: Bus Master Treiber »