Database Oracle vatbaar voor nieuw soort beveiligingslek
Gepubliceerd: Dinsdag 28 november 2006
Auteur: Wilbert de Vries
Beveiligingsonderzoeker David Litchfield van NGS Software claimt een nieuw soort beveiligingslek te hebben ontdekt om Oracle-databases te compromitteren.
Kwaadwillenden zouden het lek kunnen misbruiken om sql-injecties uit te voeren of gevoelige informatie te onderscheppen.
"De aarde vergaat niet, maar in bepaalde gevallen kan een aanvaller gegevens in handen krijgen", schrijft Litchfield in zijn analyse (pdf), zo meldt Vnunet.com.
Litchfield noemt de nieuwe aanvalsmethode 'dangling cursor snarfing'. Dit omdat het beveiligingslek ontstaat als een applicatie de zogenoemde cursors in de database niet sluit.
Deze cursors worden door ontwikkelaars gebruikt om gegevens uit de database op te halen en deze binnen hun applicatie gebruiken.
Volgens de beveiligingsonderzoeker kan Oracle geen patch uitbrengen om dit gat te dichten omdat alles afhangt van de manier waarop ontwikkelaars coderen.
Eerder deze week publiceerde Litchfield nog een onderzoek naar het aantal lekken in de database van zowel Oracle als Microsoft. Hieruit bleek dat Oracle sinds eind 2000 bijna vier keer zo vaak getroffen is door een beveiligingslek als Microsoft.
Bron: Techworld
