infinity³ warnt vor Sicherheitslücke im Oracle-Datenbankserver
Bielefeld, 12. April 2006: Mitarbeiter der infinity³ GmbH haben im Februar dieses Jahres einen gravierenden Fehler im Oracle-Datenbankserver entdeckt. Dieser Fehler ermöglicht es, dass Benutzer Daten verändern oder löschen, auf die sie nur Lesezugriff haben sollten. Dieser Fehler wurde in der Zwischenzeit durch Oracle, inklusive der nötigen Details, wie dieser auszunutzen ist, veröffentlicht. Die entsprechende Mitteilung von Oracle wurde nach einem Hinweis des Sicherheitsexperten Alexander Kornbrust von red database security wieder zurückgezogen. Dennoch muss davon ausgegangen werden, dass die Details einem grösseren Kreis bekannt sind.
Als Sofortmaßnahme empfiehlt infinity³ die Vergabe des "create view"-Rechtes soweit wie möglich einzuschränken. Hierbei ist zu beachten, dass dieses Recht häufig indirekt über die "connect"-Rolle zugeteilt wird.
Update: Laut Informationen des oben genannten Advisories von red database security wird das "create view"-Recht nicht benötigt, um diese Lücke auszunützen.
2. Update: Das Critical Patch Update Juli 2006 enthält einen Patch für diese Lücke.
Für Rückfragen:
infinity³ GmbH
Dr. Christian Kleinewächter / Jürgen Péus
Telefon: +49(0)521 96 786 - 0
E-Mail: presse@infinity-3.de