Oracle patcht den Datenbank-Patch vom April

Oracle hat einen wichtigen Patch für eine serverseitige Lücke in der Datenbanksoftware jetzt angepasst

Oracle hat einen wichtigen Patch für eine serverseitige Lücke in der Datenbanksoftware jetzt angepasst. Wie bei unabhängigen Tests herauskam, war der im Patch-Zyklus im April 2005 herausgebrachte Patch nur ungenügend gewesen und hatte die Lücke nicht geschlossen. Das soll sich jetzt ändern.

Wenn am 12. Juli die neuen Patches kommen, sollen die Einwände von David Litchfield zum Tragen kommen. Der Security-Experte von Next Generation Security Software hatte vor vier Wochen den Konzern darauf aufmerksam gemacht, dass die etwa 70 Patches, die Lücken in der Datenbanksoftware und anderen Produkten schließen sollten, die Ursache des Übels nicht tangierten. Er sagte gegenüber der US-Presse, der alte Patch sende Scripts in das falsche Directory.

Das hat nach seinen Tests mit den Java-Files zu tun, auf denen der Patch basiert. Er lädt daher nicht richtig, die Anwender wiegen sich in falscher Sicherheit und sind dadurch doppelt gefährdet. Außerdem hatte Litchfield unter Windows im 32-Bit- und 64-Bit-Modus bei der Oracle-Datenbank festgestellt, dass ein als Gast eingeloggter Nutzer sich die vollen Admin-Rechte erschleichen kann. Dadurch sind ihm alle möglichen Manipulationen in der Datenbank erlaubt. Auch dieses Leck soll mit den am Dienstag kommenden Patches geschlossen sein.