166112

Oracle-Datenbank ist angreifbar

25.04.2008 | 12:14 Uhr |

Per Lateral SQL-Injection kann sich ein Hacker einen Weg in die Oracle-Datenbank erschreichen und sich Administrator-Rechte verschaffen.

Der Sicherheitsexperte David Litchfield hat eine neue Angriffsmethode im Detail beschrieben, mit der Oracle-Datenbanken geknackt werden können. Mit der so genannten Lateral SQL-Injection steht der Manipulation und dem Stehlen von Daten nichts mehr im Wege. Der Eindringling kann sogar Software installieren. Der Datenbank-Spezialist hatte die neue Angriffsgattung bereits im Februar auf der Black Hat Washington beschrieben und nun technische Details dazu veröffentlicht.

Bei einer SQL-Injection versuchen Angreifer, die Datenbank mit Hilfe speziell manipulierter Suchbegriffe dazu zu bringen, SQL-Befehle auszuführen. Bislang gingen Sicherheitsexperten davon aus, dass dies nur über das Einschleusen von Zeichenketten in die Datenbank zur realisieren ist. Litchfields Attacke hingegen, die auf die von Oracle-Entwicklern genutzte Programmiersprache PL/SQL zielt, soll sich auch mit Hilfe bislang als diesbezüglich unbedenklich erachteter Datentypen ("DATE", "NUMBER") realisieren lassen.

Litchfield ist sich nicht sicher, wie weit die spezifischen SQL-Injection-Schwachstellen verbreitet sind, geht aber davon aus, dass diese Art des Angriffs in einigen Szenarien beträchtlichen Schaden anrichten könnte. "Wer Oracle nutzt und darauf seine eigenen Applikationen schreibt, kreiert möglicherweise verwundbaren Code", so der Experte. Datenbank-Programmierer sollten ihren Code daher überprüfen, um sicherzustellen, dass sämtliche verarbeiteten Daten legitim und nicht etwa injizierte SQL-Befehle sind. (kf)

0 Kommentare zu diesem Artikel
166112