Oracle9 Application Server mit Einstichmöglichkeit
Über eine SQL-Injection-Schwachstelle können Angreifer SQL-Befehle einschleusen und damit auf die Datenbank zugreifen
Oracle warnt vor einer Schwachstelle im Web-Portal des Oracle9i Application Servers, mit der man Befehle an die SQL-Datenbank übergeben kann. In einer URL übertragene Benutzereingaben werden von der Portalkomponente nicht hinreichend gefiltert, weshalb sie manipulierte Parameter als SQL-Befehle an die Datenbank übergibt (SQL-Injection). Damit ist ein Angreifer ohne vorherige Authentifizierung in der Lage, auf die Datenbank zuzugreifen -- ein Web-Browser reicht dafür aus.
Die Portalkomponente wird standardmäßig beim Application Server mitinstalliert. Oracle schätzt das Risiko eines erfolgreichen Angriffes über diese Schwachstelle -- sowohl über das Internet als auch aus dem Intranet -- als hoch ein.
Laut Hersteller-Advisory ist der Fehler bis zu den Portal-Versionen 3.0.9.8.5 und 9.0.2.3.0 enthalten. Die entsprechenden Updates zum Beseitigen der Sicherheitslücken finden sich auf den Seiten von Oracle und sollten schnellstens eingespielt werden. (dab)
