Web

Sicherheitslücken in Oracles E-Business-Suite und Datenbank-Server

25.07.2003

MÜNCHEN (COMPUTERWOCHE) - Oracle warnt vor zwei Sicherheitslücken in der "E-Business-Suite 11i" und einem Leck in den Datenbank-Server-Versionen "8i" (ab Variante 8.1.x) und "9i" (Release 1 und Release 2). Die E-Business-Suite ist durch einen Fehler in der Implementierung von Java Server Pages (JSP) mit der Komponente "AOL/J Setup Test Suite" angreifbar, durch den Angreifer die Konfiguration des Servers auslesen können. Die Informationen lassen sich unter anderem dazu verwenden, um betroffene Systeme gezielt zu attackieren.

Zum zweiten ist es durch einen ungeprüften Speicherbereich in der Komponente "FNDWRR" möglich, die Suite zum Absturz zu bringen. Bei FNDWRR handelt es sich um eine CGI-Applikation (Common Gateway Interface), durch die Anwender via Web-Browser auf Reports und Log-Dateien zugreifen können. Im Extremfall lassen sich auch Schadroutinen ausführen, sagen die Experten von Integrigy, die die Sicherheitslücken entdeckt haben. Dazu erzeugen Angreifer durch manipulierte URLs (Uniform Resource Locators) einen Speicherüberlauf (Buffer Overflow).

Der Datenbank-Server weist ebenfalls einen ungeprüften Speicherbereich auf. Er steckt in der Komponente "EXTPROC" und ermöglicht das Ausführen von Schadroutinen. Allerdings benötigen Angreifer laut Oracle dazu gültige Zugangsrechte zur Datenbank. Via Fernzugriff lasse sich der Fehler nicht ausnutzen, weswegen der Hersteller das Risiko als gering einstuft.

Entsprechende Security Advisories sowie Patches sind verfügbar. (lex)