image

Nieuw soort beveiligingslek in Oracle database ontdekt

dinsdag 28 november 2006, 12:32 door Redactie, 1 reacties

Beveiligingsonderzoeker David Litchfield heeft een nieuw soort lek in de database software van Oracle ontdekt. Via de kwetsbaarheid kan een aanvaller een SQL injectie aanval uitvoeren of vertrouwelijke gegevens stelen.

Via 'dangling cursor snarfing' is het mogelijk voor een gebruiker om administratorrechten te krijgen, en zo gegevens in de database aan te passen of informatie te stelen. Het lek doet zich voor als een third party of Oracle applicatie cursors in de database niet kan sluiten. Via cursors kunnen applicaties informatie uit de database halen en verwerken. Als een cursor door iemand met hogere rechten is gemaakt en niet afgesloten, kan een aanvaller met minder rechten de rol van de andere gebruiker overnemen.

Omdat het beveiligingslek wordt veroorzaakt door slordig programmeren kan Oracle geen patch uitgeven. Ontwikkelaars wordt dan ook aangeraden om cursors netjes af te sluiten en input validatie toe te passen. Aanstaande vrijdag begint de week van de Oracle lekken, waarbij er elke dag een nieuw lek wordt onthuld.

Reacties (1)
29-11-2006, 16:04 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.