Datenbank MaxDB für DoS-Attacken anfällig
Die SAP-zertifizierte Open-Source-Datenbank MaxDB enthält einen Fehler, mit dem Angreifer den Web-basierten Datenbank-Manager webdbm zum Absturz bringen können.
Die SAP-zertifizierte Open-Source-Datenbank MaxDB -- im vergangenen Jahr aus SAP DP hervorgegangen -- enthält einen Fehler, mit der Angreifer den Web-Server wahttpd zum Absturz bringen können. In der Folge ist der Web-basierte Datenbank-Manager webdbm nicht mehr erreichbar. Dem Sicherheitsdienstleister iDEFENSE zufolge reicht dazu ein HTTP-Request mit bestimmten Benutzerparametern aus. Schuld ist die Funktion IsAscii7(), die bei der Übergabe von ASCII-Zeichen größer als 127 aus dem Tritt gerät. Betroffen ist Version 7.5 für Linux und Windows. In Version 7.5.00.18 ist der Fehler nicht mehr enthalten.
MaxDB ist der neue Name der relationalen Datenbank SAP DB, nachdem die Distributionsrechte an das Unternehmen MySQL AB übergingen. Die Datenbank steht unter der GPL und kann kostenlos eingesetzt werden. Daneben gibt es auch eine kommerzielle Version, die nicht den Einschränkungen der GPL unterliegt.
Siehe dazu auch: (dab)
- Security Advisory von iDEFENSE
- Changelog MaxDB 7.5.00.18 auf MySQL.com
- Aus SAP DB wird MaxDB auf heise online
