| Noticias | 25 ABR 2008

Descubierta una nueva forma de atacar a las bases de datos Oracle

El experto en seguridad David Litchfield ha revelado los detalles técnicos de un nuevo tipo de ataque que podría dar acceso a un hacker a una base de datos Oracle.
Arancha Asenjo

Llamado Lateral SQL Injection, el ataque descrito por David Llitchfield puede utilizarse para obtener privilegios de administrador en las bases de datos de un servidor Oracle para cambiar o borrar datos e incluso instalar software. Este investigador ya había hablado de este tipo de ataque en el evento Black Hat Washington que tuvo lugar el pasado febrero, pero ahora acaba de publicar los detalles técnicos. 

En un SQL injection, los atacantes crear términos de búsqueda que engañan a la base de datos para ejecutar otros comandos SQL. Antes, los expertos en seguridad pensaban que las inyecciones SQL sólo funcionaban si el atacante introducía líneas de caracteres en la base de datos pero Litchfield ha demostrado que el ataque puede funcionar usando nuevos tipos de datos, conocidos como tipos de datos numéricos y fechas. El ataque descubierto por este experto tiene como objetivo el lenguaje de programación Procedural Language/SQL utilizado por los desarrolladores de Oracle. 

Litchfield es conocido por haber publicado los detalles del virus usado en el gusano 2003 SQL Slammer, que atacaba a la base de datos SQL Server de Microsoft. Y aunque no está seguro del alcance de las vulnerabilidades causadas por Lateral SQL injection, sí cree que el ataque podría causar serios daños en ciertos escenarios. “Si estás usando Oracle y sobre ello escribes tus propias aplicaciones, podrías estar escribiendo código vulnerable”, afirma. “El cielo no se caerá pero es algo de lo que la gente tiene que se consciente”. Por tanto, el consejo de este experto es que los programadores de bases de datos revisen su código para asegurarse de que todos los datos que están procesando es legítimo y no comandos de SQL inyectados. Oracle no se ha pronunciado sobre el tema.

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información