Oracle-Datenbanken gefährdet

Oracle hat Informationen über eine bisher nicht behobene Sicherheitslücke in den Versionen 9.2.0.0 bis 10.2.0.3 seiner gleichnamigen Datenbank in der eigenen Knowledge-Base Metalink veröffentlicht. Wie der Datenbank-Spezialist Alexander Kornbrust in einem Advisory mitteilt, gelangten so nicht nur detaillierte Informationen über die Schwachstelle, sondern auch funktionsfähige Exploits an die Öffentlichkeit. Mit diesen könne sich ein Angreifer mit Leserechten in der Datenbank unter Umständen ebenfalls Schreibzugriff verschaffen. Auf Kornbrusts Initiative hin wurden die Informationen wieder aus der Knowledge-Base entfernt.

Datenbankapplikationen arbeiten häufig mit Accounts beziehungsweise Rollen, die nur über Leserecht per SELECT verfügen müssen. Aufgrund zu laxer Zugriffsrestriktionen für die Connect-Rolle, wie sie Oracle bis einschließlich Version 10g R1 standardmäßig vergibt, lassen sich unter Umständen mit Hilfe so genannter Views beispielsweise auch INSERT- und UPDATE-Befehle an die Datenbank absetzen. Seit Version 10g R2 sind die Default-Rechte der Connect-Rolle bereits derart stark beschnitten, dass Angreifer die Lücke nur über Datenbank-Accounts ausnutzen können, denen vom Administrator explizit das CREATE-VIEW-Recht oder ein vergleichbares Recht zugewiesen wurde.

Kornbrust empfiehlt als Workaround, Datenbank-Accounts die Rechte für CREATE VIEW und gegebenenfalls auch für CREATE DATABASE LINK zu entziehen, sofern sie nur lesenden Zugriff benötigen. Auch das CREATE-SYNONYM-Recht ist indirekt mit dem Problem verknüpft. Außerdem sei es ausreichend, den Primärschlüssel der Basistabelle zu löschen. Primärschlüssel sind Voraussetzung für das Ändern von Daten über Views, doch deren Löschung könne Performance- und Integritätsprobleme nach sich ziehen. Oracle will das Problem mit einem kommenden Security-Release beheben.

Siehe dazu auch: (cr)

• Read-only user can modify data via views, Advisory von Red Database Security