Sicherheitslücke in Datenbank MaxDB gemeldet

Über eine Schwachstelle in MaxDB können Angreifer unter Umständen beliebigen Code mit den Rechten des Benutzers „sdb“ ausführen. Ein Patch steht zur Verfügung.

Nach einem Bericht der Sicherheitsexperten von Secunia tritt die Schwachstelle in Version 7.6.03.15 von MaxDB unter Linux auf. Andere Versionen der Datenbank sind unter Umständen ebenfalls betroffen. Die Sicherheitslücke entsteht durch die fehlerhafte Überprüfung der Umgebungsvariable „PATH“ im Programm „dbmsrv“. Unter Ausnutzung dieser Schwachstelle können Angreifer beliebigen Schadcode mit den Rechten des Benutzers „sdb“ in ein betroffenes System einspeisen. Hersteller SAP stellt eine neue Version von MaxDB zur Verfügung, in der diese Schwachstelle behoben ist. (vgw)