Oracle E-Business Suite offen für SQL-Injection

Die Sicherheitsfirma Integrigy warnt vor einem Fehler in der Oracle E-Business Suite, der es erlaubt, quasi beliebige SQL-Statements oder Prozeduren innerhalb der Datenbank auszuführen.

In Pocket speichern vorlesen Druckansicht 125 Kommentare lesen
Lesezeit: 1 Min.

Die Sicherheitsfirma Integrigy warnt vor einem Fehler in der Oracle E-Business Suite, der es erlaubt, quasi beliebige SQL-Statements oder Prozeduren innerhalb der Datenbank auszuführen. Dazu ist lediglich ein normaler Zugriff via Browser auf einen Server mit der Oracle E-Business-Suite erforderlich. Der Angriff erfolgt dann via SQL-Injection, also dem Einschleusen von SQL-Anweisungen in Eingabedaten, die die Applikation an die Datenbank weiterreicht. Sie lassen sich laut Integrigy so gestalten, dass sie von Intrusion Detection und Prevention Systemen nicht erkannt werden. Oracle hat das Problem bestätigt und empfiehlt dringend, den bereitgestellten Patch zu installieren.

Siehe dazu auch: (ju)