LĂĽcke in Sicherheitsmodul von Oracle
Durch einen Fehler lässt sich der Schutz von SQL-Injection umgehen, sodass SQL-Injection weiterhin möglich ist. Betroffen sind Oracle-Versionen von 8.1.7.4 bis einschließlich 10.2.0.2, die das Modul benutzen.
Der Spezialist für Datenbanksicherheit Alexander Kornbrust hat einen Bericht veröffentlicht, der eine Lücke in DBMS_ASSERT, einem Oracle-Paket zur Validierung von Benutzereingaben, hinweist. Das Paket wurde ursprünglich mit Version Oracle 10g Release 2 zum Schutz vor SQL-Injection-Angriffen eingeführt und ist seit dem Patchday im Oktober 2005 auch für Oracle 8.1.7.4 bis 10.1.0.5 verfügbar.
Durch einen Fehler lässt sich der Schutz durch Angabe bestimmer Parameter in Anführungszeichen (double Quotes) aber umgehen, sodass SQL-Injection weiterhin möglich ist. Laut Kornbrust tun sich dadurch zahlreiche Lücken in Oracle wieder auf, die eigentlich seit dem Patchday im Juli geschlossen sein sollten. Betroffen sind Oracle-Versionen von 8.1.7.4 bis einschließlich 10.2.0.2. Kornbrust hat Oracle über das Problem im April 206 informiert. Ein Patch steht nicht bereit. Gegenüber Kornbrust erklärte der Hersteller aber, man habe kein Problem mit der Veröffentlichung der Informationen über die Lücke.
Siehe dazu auch: (dab)
- Bypassing Oracle dbms_assert, Report von Alexander Kornbrust
