Oracle E-Business Suite offen für SQL-Injection
Die Sicherheitsfirma Integrigy warnt vor einem Fehler in der Oracle E-Business Suite, der es erlaubt, quasi beliebige SQL-Statements oder Prozeduren innerhalb der Datenbank auszuführen.
Die Sicherheitsfirma Integrigy warnt vor einem Fehler in der Oracle E-Business Suite, der es erlaubt, quasi beliebige SQL-Statements oder Prozeduren innerhalb der Datenbank auszuführen. Dazu ist lediglich ein normaler Zugriff via Browser auf einen Server mit der Oracle E-Business-Suite erforderlich. Der Angriff erfolgt dann via SQL-Injection, also dem Einschleusen von SQL-Anweisungen in Eingabedaten, die die Applikation an die Datenbank weiterreicht. Sie lassen sich laut Integrigy so gestalten, dass sie von Intrusion Detection und Prevention Systemen nicht erkannt werden. Oracle hat das Problem bestätigt und empfiehlt dringend, den bereitgestellten Patch zu installieren.
Siehe dazu auch: (ju)
- Security Advisory von Integrigy
- Oracle Security Alert 67
- Giftspritze, SQL-Injection - Angriff und Abwehr, heise Security