Hacking: Angriffe auf Oracle-DB

25.04.2008

Nach Angaben von Sicherheitsforscher David Litchfield könnten sich Angreifer mit einer als "Lateral SQL-Injection" bezeichneten Methode auf einem Oracle-Server Administratorenrechte verschaffen und so etwa Daten modifizieren beziehungsweise löschen oder sogar Software installieren. Der "Datenbank-Hacker" hatte die neue Angriffsgattung bereits im Februar auf der Black Hat Washington beschrieben und kürzlich technische Details dazu veröffentlicht.

Bei einer SQL-Injection versuchen Angreifer, die Datenbank mit Hilfe manipulierter Suchbegriffe dazu zu bringen, SQL-Befehle auszuführen. Bislang gingen Sicherheitsexperten davon aus, dass dies nur über das Einschleusen von Zeichenketten in die Datenbank zur realisieren ist. Litchfields Attacke hingegen, die auf die von Oracle-Entwicklern genutzte Programmiersprache PL/SQL zielt, soll sich auch mit Hilfe bislang als diesbezüglich unbedenklich erachteter Datentypen ("DATE", "NUMBER") realisieren lassen. Litchfield geht davon aus, dass solche Angriffe in einigen Fällen beträchtlichen Schaden anrichten. (kf)