Oracles Wissensdatenbank plaudert vertrauliche Daten aus

Der Neunkirchener Oracle-Spezialist ‘Red Database Security’ hat Dutzende Schwachstellen in Metalink gefunden, einer Wissensdatenbank für Oracle-Anwender.

Der Neunkirchener Oracle-Spezialist ‘Red Database Security’ (RDS) hat Dutzende Schwachstellen in Metalink gefunden, einer Wissensdatenbank für Oracle-Anwender. Die Lücken erlaubten es, die Datenbank wie beim ‘Google-Hacking’ nach E-Mail-Adressen, Konfigurationen, Testfällen und anderen vertraulichen Informationen zu durchsuchen, hieß es. RDS habe die Fehler an Oracle gemeldet.

“Ich habe 42 Fehler gefunden, und danach mit der Untersuchung aufgehört”, schrieb RDS-Gründer Alexander Kornbrust an den Branchendienst eWeek. Darunter seien schwerwiegende Schwachstellen, die ‘Denial of Service’-Attacken oder eine Injektion von Schadsoftware ermöglichten. Oracle habe diese Lücken mit seinen zuletzt veröffentlichten Patches nicht geschlossen.

Laut Kornbrust kann ein Metalink-Anwender vertrauliche Informationen abzapfen, indem er Suchbegriffe wie ‘Buffer Overflow’ oder ‘Hacker’ eingibt. Ein Oracle-Sprecher sagte, man habe bislang zu wenig Zeit gehabt, um den RDS-Report gründlich zu prüfen. Dieser enthalte jedoch einige falsche Angaben, etwa zur Zahl der Oracle-Angestellten, die Zugang zu Metalink hätten.