Oracles PR-Gau: Interview mit dem „Unruhestifter“

ZDNet: Was ist dieses Mal passiert?

Litchfield: Dieses Jahr wollte ich über neue Oracle-Sicherheitslücken sprechen. Im Januar dieses Jahres habe ich etwa 34 Stück gefunden und im März dann entschieden, sie in meiner Rede auf der Black Hat-Konferenz zu erwähnen. Nachdem ich Oracle informiert hatte, sagten sie wieder: „Keine Bange, sie werden gepatcht sein.“ Ich habe das vor meiner Rede überprüft und wieder waren die Patches nicht verfügbar. Dieses Mal waren die Sicherheitslücken kein integraler Bestandteil meiner Rede. So konnte ich allgemein über PLS/SQL-Einträge sprechen, die es Hackern prinzipiell ermöglichen, ihren eigenen Code in eine Applikation einzuschleusen, die in PSL/SQL geschrieben ist, und weitgehende Rechte zu erlangen. Eigentlich hatte ich vor, das an einem Beispiel aus der Realität zu zeigen, da sie die Lücken aber nicht geschlossen hatten, habe ich über die allgemeinen Probleme gesprochen und die spezifischen Probleme überhaupt nicht erwähnt.

ZDNet: Sind die Sicherheitslücken allgemeine Datenbankprobleme oder mehr Oracle-spezifisch?

Litchfield: Einige der Lücken sind allgemeine Probleme, einige sind jedoch sehr Oracle-spezifisch, die meisten würde ich als kritisch einstufen. Eine ermöglicht es einem Angreifer, ohne User-ID und ohne Passwort aus der Ferne kompletten Zugriff auf die Datenbank zu erlangen. Wenn die Datenbank-Firewall also umgangen werden kann, hat der Angreifer die volle Kontrolle über den Server. Andere Lücken erlauben es Nutzern mit eingeschränkten Rechten, die komplette Kontrolle über die Datenbank zu übernehmen. Diese sind also kritisch. Einige erlauben DoS-Attacken Wenn einige Leute also Millionen Transaktionen pro Stunde verarbeiten, wird DoS zu einem großen Problem.

ZDNet: Haben Sie das Wall Street Journal mit dieser Geschichte angesprochen?

Litchfield: Nein. Nachdem ich meine Rede gehalten hatte, war David Banks vom Wall Street Journal einer der Journalisten die auf mich zukamen. In gewissem Sinne hat jede Software Sicherheitslücken, das ist nichts Neues. Was den Sturm jedoch ausgelöst hat, war, dass Oracle schon seit Monaten entsprechende Patches in der Hinterhand hat, diese bislang aber nicht veröffentlicht wurden.