Enligt Litchfield kan angreppsmetoden användas av en angripare för att få administrationsrättigheter på en Oracle-server. Det kan angriparen sen använda för att radera, ändra eller installera programvara.

Redan under säkerhetskonferensen Black Hat i februari visade Litchfield upp metoden. Men det är först nu han berättar om de tekniska detaljerna.

I en vanlig attack av typen SQL-injektion lurar angriparen en databas genom att mata in kommandon maskerade som en sökning. Tidigare har många säkerhetsexperter trott att SQL-injektioner bara fungerar om angriparen matar in teckensträngar ("character strings") i databasen. Litchfield har visat att attacken kan fungera även med andra typer av indata, kallade "date and number data types".

Litchfields angrepp riktas mot Procedural Language/SQL programmeringsspråket som Oracles utvecklare använder. Han har tidigare blivit känd för att han publicerade tekniska detaljer om hur den bugg som masken SQL Slammer använde för en storskalig smitta 2003. I en kommentar om sin senaste publicerade upptäckt säger Litchfield att han inte vet hur vanlig sårbarheten är. Men han tror att en angripare skulle kunna ställa till med betydande skador i vissa lägen.

- Om du använder Oracle och du skriver egna tillämpningar så, visst då kan du vara i farozonen. Men det är inte så att himlen är på väg att falla ner över våra huvuden. Däremot tycker jag att detta är något som folk bör vara uppmärksamma på, säger han till CSO Online.

David Litchfields tips till utvecklare är att gå igenom sin kod och se till så att inte den data som körs i själva verket är injicerade SQL-kommandon.

Källa: CSO Online

Klicka här för Litchfields tidigare utspel om att många databaser saknar brandvägg.