Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

25.04.2008

Hacking: Angriffe auf Oracle-DB

Nach Angaben von Sicherheitsforscher David Litchfield könnten sich Angreifer mit einer als "Lateral SQL-Injection" bezeichneten Methode auf einem Oracle-Server Administratorenrechte verschaffen und so etwa Daten modifizieren beziehungsweise löschen oder sogar Software installieren. Der "Datenbank-Hacker" hatte die neue Angriffsgattung bereits im Februar auf der Black Hat Washington beschrieben und kürzlich technische Details dazu veröffentlicht.

Bei einer SQL-Injection versuchen Angreifer, die Datenbank mit Hilfe manipulierter Suchbegriffe dazu zu bringen, SQL-Befehle auszuführen. Bislang gingen Sicherheitsexperten davon aus, dass dies nur über das Einschleusen von Zeichenketten in die Datenbank zur realisieren ist. Litchfields Attacke hingegen, die auf die von Oracle-Entwicklern genutzte Programmiersprache PL/SQL zielt, soll sich auch mit Hilfe bislang als diesbezüglich unbedenklich erachteter Datentypen ("DATE", "NUMBER") realisieren lassen. Litchfield geht davon aus, dass solche Angriffe in einigen Fällen beträchtlichen Schaden anrichten. (kf)