WCM - Das österreichische Computer Magazin Forenübersicht
 

Zurück   WCM Forum > Rat & Tat > IT-Security
Seite neu laden Oracle schließt fast 80 Sicherheitslücken
Registrieren Hilfe/Forumregeln Benutzerliste Kalender Heutige Beiträge

IT-Security Rat & Tat bei Fragen und Problemen zu Computer-, Netzwerk- und Daten-Sicherheit

Microsoft KARRIERECAMPUS

Antwort
 
Themen-Optionen Ansicht
Alt 18.01.2012, 18:10   #1
Christoph
Mod, bin gerne da
 
Benutzerbild von Christoph
 
Registriert seit: 09.11.1999
Ort: W, NÖ
Alter: 74
Beiträge: 13.646


Standard Oracle schließt fast 80 Sicherheitslücken
Zitat:
Korrekturen für 78 Sicherheitslücken fasst Oracle in dem heute veröffentlichten ersten Quartals-Patch 2012 zusammen. Mit 27 Bugs ist MySQL am stärksten betroffen, gefolgt von 17 in der Sun Produkt Suite (Glassfish, Communications Unified, SSO und Solaris). In seiner gleichnamigen Datenbank schließt Oracle nur zwei Lücken.

Am schwerwiegendsten soll ein Bug im Betriebssystem Solaris sein, dem Oracle 7,8 von maximal 10 Punkten seiner Risikoklassifizierung zugeordnet hat. Angreifer können ihn für Denial-of-Service-Attacken ausnutzen oder dadurch Root-Rechte erlangen. Ähnlich riskant ist ein nicht näher erläuterter Bug in der Fusion-Middleware, der keine Authentifizierung erforderte.

Auch im MySQL-Datenbankserver hat Oracle Lücken geschlossen, von denen sich eine über das Netz ohne Authentifizierung nutzen ließ. Details dazu sind noch nicht bekannt. Ausführlich beschrieben ist hingegen der jetzt beseitigte Fehler CVE-2012-0082 im Oracle-Datenbankserver.

Er resultiert aus einem zu starken Wachstum der System Change Number (SCN), die jede Transaktion auf einem Server eindeutig identifiziert und üblicherweise nur langsam zunimmt. Sind mehrere Datenbanken per Link miteinander verbunden (CREATE DATABASE LINK), müssen sie ihre SCNs synchron halten. Wird auf einem der Server ein Online-Backup gestartet wird, erzeugt er zahlreiche stark wachsende SCNs. Durch einen Implementierungsfehler setzt er diese Überproduktion auch nach dem Ende der Datensicherung fort.

Wegen des Datenbank-Link müssen die anderen Server ihre SCNs ebenfalls schnell stark erhöhen. Das kann in Extermsituationen mit sehr vielen verbundenen Datenbanken dazu führen, dass ein interner Maximalwert überschritten wird. Er beträgt durchschnittlich 16384 Transaktionen pro Sekunde vom 1. Januar 1988 bis zum aktuellen Zeitpunkt. Jenseits dieser Schranken kommt es offenbar zu Stabilitätsproblemen bis hin zum Absturz des Servers.

Wächst nun auf einer Datenbank die SCN durch das Backup um mehrere hundert Millionen, müssen die anderen Server nachziehen. Startet einer davon kurz danach ebenfalls ein Backup, nimmt die SCN wiederum um einige hundert Millionen zu – dadurch kann die willkürliche Schranke überschritten werden. Oracle schließt diese Lücke heute ebenso wie Möglichkeiten, die SCN manuell um beliebige Werte zu erhöhen, jedenfalls für die Versionen 10 und 11 seiner Datenbank. (ck)
Quelle und einzelne Links: http://www.heise.de/newsticker/meldu...n-1414683.html
____________________________________
Liebe Grüße
Christoph

Ein Kluger bemerkt alles, ein Dummer macht über alles seine Bemerkungen.
(Heinrich Heine)
Christoph ist offline   Mit Zitat antworten
Antwort

« Vorheriges Thema | Nächstes Thema »

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.
BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Gehe zu


Alle Zeitangaben in WEZ +2. Es ist jetzt 16:47 Uhr.

Kontakt - WCM - Nach oben

Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
Forum SEO by Zoints
© 2009 FSL Verlag