Un agujero en las bases de datos de Oracle puede permitir la propagación de código maligno
Los administradores de bases de datos tienen un nuevo incentivo para decidirse a instalar los últimos parches de seguridad anunciados, a primeros de esta semana, por Oracle: se ha detectado la circulación de un software maligno que puede dejar sin servicio a un servidor de bases de datos que no esté plenamente actualizado. Y no es la única amenaza.
Según un experto en seguridad, este código maligno detectado es el primero de una serie de malware que están por llegar y que tienen, todos ellos, como objetivo sacar partido de las 89 vulnerabilidades a las que, recientemente, se les ha puesto un parche.
El código que explota una vulnerabilidad en la sobrecarga del búfer en algunas versiones de las bases de datos de Oracle se publicó en una lista de distribución de seguridad denominada Full Disclosure.
Dicho código puede ser utilizado por atacantes para echar abajo la base de de datos, empleando una técnica que se llama ataque de inversión SQL, según las explicaciones facilitadas por Alexander Kornbrust, responsable de la empresa alemana Red-Database-Security. En este tipo de ataques, las aplicaciones Web que funcionan con la base de datos son engañadas para que envíen código maligno a toda la base de datos empleando el lenguaje SQL.
Este fallo de seguridad puede ser utilizado tanto por un atacante que tiene credenciales en una base de datos no parcheada o por uno remoto, empleando la técnica de inversión SQL a través de Internet, según Kornbrust. “Yo mismo he probado a hacer el ataque y funciona, por lo que recomiendo encarecidamente a los clientes a que instalen los parches tan pronto como sea posible”.
Todos los detalles sobre esta vulnerabilidad están descritos en la número DB27 y puede ser leído en la página Web http://www.oracle.com/technology/deploy/security/pdf/cpuoct2005.html#Appendix%20A
El código que explota una vulnerabilidad en la sobrecarga del búfer en algunas versiones de las bases de datos de Oracle se publicó en una lista de distribución de seguridad denominada Full Disclosure.
Dicho código puede ser utilizado por atacantes para echar abajo la base de de datos, empleando una técnica que se llama ataque de inversión SQL, según las explicaciones facilitadas por Alexander Kornbrust, responsable de la empresa alemana Red-Database-Security. En este tipo de ataques, las aplicaciones Web que funcionan con la base de datos son engañadas para que envíen código maligno a toda la base de datos empleando el lenguaje SQL.
Este fallo de seguridad puede ser utilizado tanto por un atacante que tiene credenciales en una base de datos no parcheada o por uno remoto, empleando la técnica de inversión SQL a través de Internet, según Kornbrust. “Yo mismo he probado a hacer el ataque y funciona, por lo que recomiendo encarecidamente a los clientes a que instalen los parches tan pronto como sea posible”.
Todos los detalles sobre esta vulnerabilidad están descritos en la número DB27 y puede ser leído en la página Web http://www.oracle.com/technology/deploy/security/pdf/cpuoct2005.html#Appendix%20A
