Oracle hat soeben seinen CPU Juli 2007 veröffentlicht. In diesem CPU werden 3 Sicherheitslücken, die Red-Database-Security GmbH gemeldet hat, korrigiert.
Diese Fehler sind 2 SQL Injection Lücken (Apex und dbms_prvtaqis) wird ein kritischer Fehler in Datenbank-Views korrigiert. Der Fehler in den Views, nicht zu verwechseln mit denjenigen, die letztes Jahr im April und Oktober 2006, wurde korrigiert. Dabei kann ein Benutzer mit Lese-Rechten über spezielle zusammengesetzte Views Insert/Update/Delete Statements ausführen ohne die entsprechenden Rechte zu besitzen.
Dabei handelt es sich um ein Problem des Oracle Optimizers (Hallo Trivadis: Bitte auch den Optimizer testen 😉 )
Unsere Analyse findet sich wie üblich bei Red-Database-Security.