Metasploit-Tool attackiert Oracle-LĂĽcken
Zwar hat Oracle die von Metasploits Werkzeug ausgenutzten Schwachstellen bereits geschlossen, viele Administratoren dĂĽrften die Patches aber noch nicht angewandt haben.
Auf der ĂĽbermorgen in Las Vegas beginnenden Blackhat-Konferenz wird Chris Gates von der Hackergruppe Metasploit ein freies Werkzeug zum Angriff auf Oracle-Datenbanken vorstellen. Bereits im Februar erschien ein Video, in dem Gates solche Attacken demonstriert.
Er zeigt dort, wie man zunächst die geschützte SID ermittelt, mit einem Brute-Force-Angriff ein Benutzername-Passwort-Paar bestimmt und dann die Rechte dieses Benutzers so erhöht, dass er Administrationsprivilegien erhält. Als Ziel dient eine Oracle-DB 10.1.0.2.0.
Laut Oracle seien die dort vorhandenen und vom Werkzeug ausgenutzten Lücken inzwischen geschlossen. Allerdings aktualisieren nicht alle Datenbankadministratoren das Produkt regelmäßig, obwohl Patches alle drei Monate erscheinen. (ck)
