Om een aanval uit te voeren is een beetje creativiteit en kennis van het Oracle beheersysteem nodig, zo schrijft David Litchfield, een vermaarde Britse specialist op het gebied van databasebeveiliging die zich herhaaldelijk kritisch heeft uitgelaten over de beveiliging van Oracle databases.

Hij noemt deze nieuwe aanvalsvorm 'Lateral Injection Attack'. Daarbij krijgt de aanvaller als beheerder toegang tot de database, waar hij data kan inzien, wijzigen en software kan installeren.

SQL-injection

De aanval is in feite een variant op een SQL-injectie aanval. Bij een SQL-inject geeft een aanvaller via bijvoorbeeld invoervelden op een website commando's aan een database. Litchfield heeft nu aangetoond dat die opdrachten ook via de nieuwe 'date and number' datatypes gegeven kunnen worden.

Paper

Litchfield publiceerde afgelopen donderdag een paper met technische details over de aanval.

"Als je Oracle gebruikt en daar je eigen applicaties op ontwerpt, dan kan het zijn dat je code schrijft die kwetsbaar zijn," schrijft Litchfield. "De wereld vergaat nog niet, maar mensen moeten hier zeker van op de hoogte zijn."

"Ik betwijfel of dit praktisch 'uitbuitbaar' wordt... Maar in specifieke gevallen kan het misbruikt worden, bijvoorbeeld bij Cursor Snarfing Aanvallen", schrijft de beveiliger. Toch dringt hij er vooral op aan dat de Date en Number-variabelen niet meer als 'veilig' moeten worden gezien.