Schwachstelle in Datenbanksystem MaxDB
Angreifer aus dem Netz können beliebige Befehle auf MaxDB-Servern ausführen und so das System unterwandern.
Luigi Auriemma warnt vor einem Fehler in der Datenbank MaxDB. Angreifer aus dem Netz können ohne vorherige Authentifizierung Systembefehle absetzen und dadurch den Server unter ihre Kontrolle bringen.
Auriemma zufolge führt MaxDB einige Befehle über einen SYSTEM()-Aufruf von cons.exe DATABASE COMMAND aus, beispielsweise die Abfragen show und exec_sdbinfo. Angreifer können dadurch beliebige Befehle absetzen, die auf dem System ausgeführt werden. Als Beispiel führt Auriemma folgenden Befehl an: exec_sdbinfo && echo dir c:\ | cmd.exe.
Eine aktualisierte Version der Datenbank gibt es derzeit noch nicht. MaxDB-Nutzer sollten, falls noch nicht geschehen, den Zugriff auf die Datenbank auf vertrauenswürdige Rechner beschränken.
Siehe dazu auch:
- Fehlerbericht zur Schwachstelle in MaxDB von Luigi Auriemma
- Download der MaxDB-Community-Edition
(dmk)
