Nobel-Datenbank Oracle 9i hat(te) ein Loch

Mit einem Security Advisory und dem passenden Patch hat der Datenbankhersteller Oracle auf ein Leck in seiner neuesten Datenbank Version 9i Release 2 hingewiesen. Release 1 und vorherige Versionen, so heißt es zunächst, seien nicht betroffen. Ein Patch zum Beseitigen der Schwachstellen sei für registrierte Benutzer verfügbar.
Die Schwachstellen basierten auf mehreren Buffer Overflows in der XML-Datenbank (XDB), mit der ein Angreifer eine erfolgreiche Denial-of-Service-Attacke durchführen und Datenbank-Sessions von anderen Benutzern übernehmen könne. Dies, darauf weist der Hersteller explizit hin, sei aber nur dann gegeben, wenn der Nutzer sich direkt mit dem Internet verbinde. Da dies aber für die meisten Nutzer zutreffe und sich die verletzliche Stelle vor allem bei Intranets bemerkbar machen könne, raten die Oracle-Sicherheitsexperten dringend zum Aufspielen des Patches. Es sei zumindest davon abzuraten, so heißt es weiter, die Datenbank bis dahin direkt mit dem Internet zu verbinden.

Voraussetzung ist allerdings, dass der FTP- oder HTTP-Server der Datenbank aktiviert ist, beziehungsweise ein Angreifer in der Datenbank angemeldet ist. Zur Minimierung des Risikos empfiehlt Oracle, den FTP- und HTTP-Server abzuschalten.