Oracle lukker sikkerhedshul i database

Artiklen blev oprindeligt publiceret den 1/5/2003

En angriber kan udnytte et bufferoverløb i Oracle-databasen til at få udført programkode på offerets server. Oracle har fjernet sårbarheden med et rettelsesprogram.

Sårbarheden findes i databasens behandling af en kommando, der gør det muligt fra en database at søge i en anden. En angriber kan på den måde forårsage et bufferoverløb, der gør det muligt at afvikle kode med samme privilegier som databaseprocessen.

David Litchfield fra Next Generation Security Software, der opdagede sårbarheden, siger dog til det amerikanske Computerworld, at den ikke vil være nem at udnytte. Det vil kræve avanceret viden om Oracles opbygning og programmering i maskinkode. Men hvis først en angriber skriver et program, der udnytter sårbarheden, kan det udnyttes af andre hackere - eller i en automatiseret orm.

Oracle har udgivet to rettelser til Oracle 9i og en til version 8i. Fejlen findes også i version 7.3x, men den har firmaet ingen planer om at udsende rettelser til. I stedet anbefales kunderne at opgradere.

Links

• Oracles beskrivelse af sårbarheden (Adobe Acrobat-format)
• Ngssoftwares beskrivelse af sårbarheden
• Artikel fra det amerikanske blad Computerworld