El investigador de Vulnerability Lab, Shadab Siddiqui ha encontrado varios fallos Blind SQL Injection en cuatro sitios web propiedad de Oracle. Steve Meert, persona que forma parte del equipo de seguridad de Oracle, trabajó en estrecha colaboración con Benjamin Kunz Mejri, fundador de Vulnerability Laboratory para resolver estos problemas.

Los problemas de seguridad fueron identificados por Siddiqui a finales de marzo. Un día después de que fueran reportados a Oracle, la compañía comenzó a trabajar en una solución que se aplicó el 11 de abril de 2012.

SQL Inyection es una técnica usada a menudo para atacar las bases de datos a través de un sitio web. Esto se hace mediante la inclusión de partes de instrucciones SQL en un campo de entrada de formulario.

Estas fallas, catalogadas como críticas, pueden haber sido remotamente aprovechadas por un attacker inyectando y ejecutando sus propios comandos SQL maliciosos.

Particularmente, lo peor de estas vulnerabilidades era que podrían haber permitido que el atacante comprometiese el database management system del sitio sin ningún tipo de interacción del usuario.

Los amantes de la seguridad pueden ver una descripción detallada de prueba de concepto que demuestran la existencia de los problemas: la lista de sitios web vulnerables incluye campus.oracle.com, education.oracle.com, academy.oracle.com y shop.oracle.com. Pincha aquí para ver la prueba de concepto de la SQL injection vulnerability.

VIA: SoftPedia