Na Black Hat hackol Oracle 11g

Známy bezpečnostný expert David Litchfield, výskumný pracovník firmy NGS Consulting, na konferencii Black Hat demonštroval, ako sa využitím bezpečnostnej diery v databázovom systéme Oracle 11g dá získať kontrola nad celou databázou. Obísť sa mu podarilo takisto funkciu Oracle Label Security, ktorá má na starosti kontrolu prístupu k informáciám uloženým v databáze, na základe nastavenej úrovne zabezpečenia.

Do hľadania zraniteľnosti v databázovom systéme Oracle 11g sa podľa vlastných slov pustil po tom, čo spoluzakladateľ spoločnosti Oracle Larry Ellison o tejto databáze vyhlásil, že je „neprelomiteľná“. Pri hackovaní databázového systému Oracle 11g Release 2 využil chybnú implementáciu Javy, a tak je možné, aby používateľ s nízkymi právami dokázal určitým postupom svoje práva eskalovať. Litchfield pri prednáške použil databázový systém Oracle 11g Enterprise Edition, na ktorom sa mu postupne podarilo získať úplnú kontrolu nad celou databázou.

Až do uvoľnenia oficiálnej záplaty David Litchfield odporúča, aby administrátori obmedzili spúšťanie určitých funkcií jazyka Java. Bezpečnosť databázového systému Oracle 11g by ohodnotil známkou B+ (na Slovensku 2-). Takéto hodnotenie je pre mnohých možno prekvapením, keďže databázam Oracle sa venoval približne 10 rokov, počas ktorých objavil veľké množstvo zraniteľností. Tvrdí, že oproti predošlej verzii urobili vývojári pokrok, čo sa týka bezpečnosti, ale zároveň kritizuje, že spoločnosť Oracle neodhalila ním objavené zraniteľnosti ešte počas vývoja produktu.

Pokrok v úrovni bezpečnosti produktu pripisuje najmä používaniu bezpečnostných nástrojov odhaľujúcich potenciálne zneužiteľné miesta v zdrojovom kóde. Vytkol však prílišnú závislosť firmy od týchto nástrojov, ktoré vždy neodhalia všetky zraniteľné miesta kódu programu. Litchfield oznámil aj to, že vo firme NGS končí a ďalej sa plánuje zamerať na oblasť počítačovej forenznej analýzy.

Zdroj:
www.networkworld.com
www.darkreading.com

Súvisiace články: