Bereits seit einiger Zeit legt das US-Unternehmen Next Generation Security Software (NGSS) den Finger auf offene Oracle-Datenbanken-Wunden. Auf das Drängen von Sicherheitsexperte David Litchfield hat der Datenbankkonzern zwar inzwischen sein jüngstes Patch gepatcht, doch NGSS legt jetzt mit einer breit angelegten Untersuchung nach. Die meisten User wähnten sich in falscher Sicherheit und könnten so schnell in Konflikt mit Compliance-Regelungen kommen, so Litchfield.
Nach seinen Worten gibt es bei über drei Vierteln von rund 100 untersuchten Datenbankservern eine niederschmetternde Diskrepanz zwischen dem angenommenen und dem tatsächlichen Patch-Level. Größe und Branchenzugehörigkeit der Firmen spielten dabei keine Rolle. “Nicht die Anwender machen etwas falsch. Es sind die Tools selbst, die fehlerhaft sind”, sagt Litchfield.
So würden Oracles “CPUs” (Critical Patch Updates) zeitweise dabei scheitern, Updates oder gefixte Kopien und Dateien zu installieren. Sowohl die April- als auch die Juli-CPUs seien in vielfacher Hinsicht fehlerhaft. Viele anderen Probleme seien mit Oracles Dienstprogramm ‘Opatch’ verbunden. Es melde beispielsweise “Opatch succeeded”, obwohl notwendige Zusatzinstallationen – beispielsweise PL/SQL-Pakete oder Java-Dateien – noch nicht durchgeführt wurden.
Das sei vor allem für Universitäten gefährlich, weil sie oft ihre Server im Internet zur Verfügung stellen würden. Ein SQL-Angriff via Web-Applikationen könne so auch Oracle-Datenbank-Server im Backend treffen. IDC-Analyst Carl Olofson sieht dennoch keinen Grund zur Besorgnis. Er habe noch nie von einem solchen Angriff gehört. “Es gibt eine Gefährdung. Egal, was Oracle die Anwender glauben machen will”, beharrt dagegen Litchfield.
Ein elementarer Bestandteil einer effektiven Cloud-Strategie ist nach erfolgter Implementierung die künftige Verwaltung des Dienstes.
Die Neuerungen sollen den Digital Thread, die Low-Code-Entwicklung, die Visualisierung komplexer Baugruppen und das Lieferantenmanagement…
Eine Bitkom-Umfrage attestiert der Datenraum-Initiative des Bundes hohe Bekanntheit in der Industrie. Doch noch ist…
Ransomware-as-a-Service ist ein lukratives Geschäft und in den Händen professionell organisierter Gruppen. Jetzt können Kriminelle…
Bad Bots richten nicht nur wirtschaftlichen Schaden an. Laut dem Bad Bot Report von Imperva…
Studie von OVHcloud verdeutlicht Stellenwert von Datenresidenz und Datensouveränität bei KI-Anwendungen.