Expert legt Oracle-databases plat met nieuwe injectiemethode
Gepubliceerd: Woensdag 28 februari 2007
Auteur: Niels de Rijk
Database-expert David Litchfield presenteert woensdag een nieuwe methode om een willekeurige versie van een Oracle-database plat te leggen.
Litchfield, directeur van het Britse NGS Software, meent Oracle-databases te kunnen misbruiken met sql-injecties, zonder dat daarvoor gebruikersrechten nodig zijn. De methode, die door Litchfield 'cursor injection' wordt genoemd, wordt woensdag op de Blackhat DC 2007-conferentie in Arlington (Virginia, Verenigde Staten) aan het publiek gepresenteerd.
"Oracle stelt dat aanvallers alleen kans van slagen hebben als zij een functie of procedure [een deel van een programma, red.] hebben gecreëerd. Maar dat is dus niet het geval", schrijft Litchfield in zijn rapport.
"Alle databases die sql-injectiegevoelige lekken bevatten kunnen worden misbruikt met een 'creëer sessie'-privilege. Andere rechten zijn niet nodig." De methode zou werken bij elke willekeurige versie van de Oracle-database en bij elk willekeurig sql-lek, meldt Litchfield.
Met de onthulling van de nieuwe aanvalstechniek wordt het een stuk gevaarlijker Oracle-lekken open te laten staan. Zo meldt beveiligingsbedrijf Symantec dat hackers afgelopen week diverse exploits hebben aangepast om de nieuwe aanvalsmethode te misbruiken.
Oracle zelf heeft nog niet inhoudelijk gereageerd, maar laat weten kennis te hebben genomen van het probleem.
Bron: Techworld
