Programvarehuset Integrigy leverer sikkerhetsløsninger for store forretningskritiske systemer fra selskaper som Oracle, SAP, PeopleSoft, Microsoft og Siebel, og har i løpet av dette arbeidet kommet over flere viktige sikkerhetshull.
En av selskapets eksperter, Stephen Kost, oppdaget nylig at det er mulig å fylle ut tilbakemeldingsfelt lagt ut på websider av Oracle-applikasjoner, med fragmenter av SQL-kode formet slik at man oppnår full kontroll over både applikasjonen og selve databasen. Han har døpt hullet «SQL injection flaw».
Sårbarheten gjelder E-Business Suite i versjonene 11.5.1 til 11.5.8 – versjon 11.5.9 er fikset – og Oracle Applications 11.0 og 11i, uavhengig av plattform.
Integrigy publiserte en advarsel i forrige uke, samtidig med at Oracle advarte sine kunder om feilen og la ut en fiks.
I advarselen fra Oracle heter det at sårbarheten vil kunne utnyttes av «enhver bruker med tilgang til en nettleser».
Advarselen fra Integrigy legger til at et angrep vil «lett kunne utformes slik at det unngår de fleste innbruddsvernsystemer».
Lenker
Til Integrigys advarsel
Oracles advarsel
Siden der Oracle har lagt ut sin fiks
Les også:
- [22.07.2004] Siebel taper penger
- [29.06.2004] Sterk vekst på Oracle e-business suite
- [15.03.2004] Kritiske sikkerhetshull i Oracle
- [21.10.2003] Ber forskere ikke dele ut hackerkode
- [31.07.2003] IT-brukerne tetter ikke sikkerhetshull
- [25.07.2003] Flere sikkerhetshull i Oracle-løsninger
- [18.02.2003] Fem sikkerhetsvarsler fra Oracle
