Menü

Lücke in Sicherheitsmodul von Oracle

von
vorlesen Drucken Kommentare lesen

Der Spezialist für Datenbanksicherheit Alexander Kornbrust hat einen Bericht veröffentlicht, der eine Lücke in DBMS_ASSERT, einem Oracle-Paket zur Validierung von Benutzereingaben, hinweist. Das Paket wurde ursprünglich mit Version Oracle 10g Release 2 zum Schutz vor SQL-Injection-Angriffen eingeführt und ist seit dem Patchday im Oktober 2005 auch für Oracle 8.1.7.4 bis 10.1.0.5 verfügbar.

Durch einen Fehler lässt sich der Schutz durch Angabe bestimmer Parameter in Anführungszeichen (double Quotes) aber umgehen, sodass SQL-Injection weiterhin möglich ist. Laut Kornbrust tun sich dadurch zahlreiche Lücken in Oracle wieder auf, die eigentlich seit dem Patchday im Juli geschlossen sein sollten. Betroffen sind Oracle-Versionen von 8.1.7.4 bis einschließlich 10.2.0.2. Kornbrust hat Oracle über das Problem im April 206 informiert. Ein Patch steht nicht bereit. Gegenüber Kornbrust erklärte der Hersteller aber, man habe kein Problem mit der Veröffentlichung der Informationen über die Lücke.

Siehe dazu auch: (dab)

Anzeige
Zur Startseite
Anzeige