Ein kürzlich von Covert Labs (Network Associates) entdecktes Sicherheitsloch in der Datenbank 8i hat Hersteller Oracle zugestopft. Allerdings nur für Versionen, die noch mit Support versehen sind.Der Bug war in allen Versionen des Datenbank-Servers 8i aufgetreten. Ein Angreifer konnte damit einen "Buffer Overflow" (Pufferüberlauf) bewirken und so die Rechte eines Administrors über die Datenbank bekommen. Der Grund für den Fehler findet sich im TNS-Listener. Er steuert bei Datenbankabfragen über eine Schnittstelle die protokollunabhängige Netzwerk-Kommunikation. Hängt man eigens vorbereiteten Code an Kommando-Strings, die von der Server-Software nicht geprüft werden, verursacht man einen überlauf, und der Code wird ausgeführt.Oracle erklärte, beim Datenbank-Nachfolger 9i sei das Problem behoben. (wl)
09.07.2001
Ein kürzlich von Covert Labs (Network Associates) entdecktes Sicherheitsloch in der Datenbank 8i hat Hersteller Oracle zugestopft. Allerdings nur für Versionen, die noch mit Support versehen sind.Der Bug war in allen Versionen des Datenbank-Servers 8i aufgetreten. Ein Angreifer konnte damit einen "Buffer Overflow" (Pufferüberlauf) bewirken und so die Rechte eines Administrors über die Datenbank bekommen. Der Grund für den Fehler findet sich im TNS-Listener. Er steuert bei Datenbankabfragen über eine Schnittstelle die protokollunabhängige Netzwerk-Kommunikation. Hängt man eigens vorbereiteten Code an Kommando-Strings, die von der Server-Software nicht geprüft werden, verursacht man einen überlauf, und der Code wird ausgeführt.Oracle erklärte, beim Datenbank-Nachfolger 9i sei das Problem behoben. (wl)