Fehler in J2EE-Datenbank PointBase
Suns Java-J2EE-Referenz-Implementierung enhält Fehler, mit denen ein Angreifer eigene Befehle an die Datenbank PointBase übergeben kann.
Suns Java-J2EE-Referenz-Implementierung enhält Fehler in den sun.*- und org.apache.*-Paketen in jdk 1.4.2_02, mit denen ein Angreifer eigene Befehle an die mitgelieferte Datenbank PointBase übergeben kann. Die Datenbank muss dazu gestartet sein. Nach Angaben des Java-Sicherheitsexperten Marc Schoenefeld ist es sogar möglich, mittels SQL-Injection weitere Applikationen aufzurufen und die Datenbank zum Absturz zu bringen. Begünstigt wird diese Lücke durch fehlerhafte Sicherheitseinstellungen des Security-Managers unter Java.
Schoenefeld imformierte Sun bereits Ende November. Nach Meinung von Sun liegt der Fehler aber nicht in J2EE, sondern in der PointBase-Datenbank - man stehe in Kontakt mit den Entwicklern von PointBase. Schoenefeld hat einen Proof-of-Concept-Exploit für die Lücken entwickelt und nach eigenen Angaben erfolgreich unter Windows XP getestet. Ein Patch für das Problem existiert zurzeit nicht, als Workaround empfiehlt Schoenefeld, eine Sicherheitsrichtlinie für PointBase zu definieren. Eine Anleitung dazu will er demnächst auf www.illegalaccess.org veröffentlichen.
Siehe dazu auch: (dab)
- Security Advisory auf Securitytracker
