Computerworld News Service: Sikkerhedsforskeren David Litchfield har fundet tekniske detaljer om en angrebs-type, der kan ramme Oracles databaser.
Denne type angreb, der betegnes ”lateral SQL injection”, kan bruges at at skaffe sig en database-administrators rettigheder på en Oracle-server og dermed ændre eller slette data eller endda installere software, fortæller David Litchfield i et interview.
David Litchfield fortalte for første gang om denne type angreb ved konferencen Black Hat Washington i februar sidste år, men i torsdags offentliggjorde han de tekniske detaljer.
Søgetermer
I en SQL injection skaber angribere særligt fremstillede søgetermer, der narrer databasen til at køre SQL-kommandoer.
Tidligere troede sikkerhedseksperterne kun, at SQL injections ville virke, hvis angreberen indtastede strenge i databasen, men David Litchfield påviser, at angrebet kan fungere ved brug af nye typer data – ”date and number data types”.
Målet for David Litchfields angreb er det Procedural language/SQL-programmeringssprog, som Oracles udviklere bruger.
David Litchfield er bedst kendt for sin udgivelse af detaljer om den bug, der blev brugt i SQL Slammer-ormen, som angreb Microsofts SQL Server database.
Kan forårsage alvorlige skader
David Litchfield er ikke sikker på, hvor udbredte lateral SQL injections er, men han mener, at angrebet kan forårsage alvorlige skader i nogle tilfælde.
”Hvis man bruger Oracle, og man skriver sine egne applikationer, er det muligt, at man skriver en sårbar kode,” siger han.
”Det er ikke verdens undergang, men det er helt klart noget, folk skal gøres opmærksomme på.”
Databaseprogrammører bør gennemgå deres koder for at sikre, at alle de data der bearbejdes er legitime og ikke injected SQL-kommandoer, siger han.
Oversat af Mille Bindslev
