Neue Lücke in Oracle-Datenbank entdeckt

Mit einer neuen Methode können Hacker auf die Oracle-Datenbank zugreifen.

weitere Artikel

Intelligente Datenplattformen

Test: Oracle Database 11g - Grosser Sprung nach vorn

» Von idg, 28.04.2008 11:49.

Dem Sicherheitsforscher David Litchfield zufolge können sich Angreifer mit der Methode ,,Lateral SQL-Injection" auf einem Oracle-Server die Administratorenrechte besorgen. Damit können sie Daten modifizieren respektive löschen und Software installieren. Bei einer SQL-Injection versuchen Angreifer, SQL-Befehle mittels speziell manipulierter Suchbegriffe in der Datenbank auszuführen. Litchfields Attacke zielt auf die von Oracle-Entwicklern verwendete Programmiersprache PL/SQL und lässt sich mittels bisher als unbedenklich eingestuften Datentypen (,,Date", ,,Number") realisieren. Unklar ist, wie verbreitet die spezifischen SQL-Injection-Schwachstellen sind. In jedem Fall können Angreifer damit beträchtlichen Schaden anrichten. Datenbank-Programmierer sollen laut Litchfield ihren Code überprüfen. Damit soll sichergestellt werden, dass sämtliche verarbeiteten Daten legitim und nicht etwa injizierte SQL-Befehle sind.

KOMMENTARE

Keine Kommentare

KOMMENTAR SCHREIBEN

Vorname: *

Name: *

E-Mail: *

Code eingeben:

Kommentar: *

Alles Pflichfelder, E-Mail-Adresse wird nicht angezeigt.

Die Redaktion hält sich vor, unangebrachte, rassistische oder ehrverletzende Kommentare zu löschen.
Die Verfasser von Leserkommentaren gewähren der IDG Communications AG das unentgeltliche, zeitlich und räumlich unbegrenzte Recht, ihre Leserkommentare ganz oder teilweise auf dem Portal zu verwenden. Eingeschlossen ist zusätzlich das Recht, die Texte in andere Publikationsorgane, Medien oder Bücher zu übernehmen und zur Archivierung abzuspeichern.