Kritisk sårbarhet i Oracle-applikasjoner

Oracle har lagt ut en fiks for et hull som gir uvedkommende full tilgang også til selve databasen.

Programvarehuset Integrigy leverer sikkerhetsløsninger for store forretningskritiske systemer fra selskaper som Oracle, SAP, PeopleSoft, Microsoft og Siebel, og har i løpet av dette arbeidet kommet over flere viktige sikkerhetshull.

En av selskapets eksperter, Stephen Kost, oppdaget nylig at det er mulig å fylle ut tilbakemeldingsfelt lagt ut på websider av Oracle-applikasjoner, med fragmenter av SQL-kode formet slik at man oppnår full kontroll over både applikasjonen og selve databasen. Han har døpt hullet «SQL injection flaw».

Sårbarheten gjelder E-Business Suite i versjonene 11.5.1 til 11.5.8 – versjon 11.5.9 er fikset – og Oracle Applications 11.0 og 11i, uavhengig av plattform.

Integrigy publiserte en advarsel i forrige uke, samtidig med at Oracle advarte sine kunder om feilen og la ut en fiks.

I advarselen fra Oracle heter det at sårbarheten vil kunne utnyttes av «enhver bruker med tilgang til en nettleser».

Advarselen fra Integrigy legger til at et angrep vil «lett kunne utformes slik at det unngår de fleste innbruddsvernsystemer».

Lenker
Til Integrigys advarsel
Oracles advarsel
Siden der Oracle har lagt ut sin fiks

    Les også:

Til toppen