Na Black Hat hackol Oracle 11g

vytlačiť
poslať e-mailom
vybrali.sme.sk
facebook
ohodnotiť

Známy bezpečnostný expert David Litchfield, výskumný pracovník firmy NGS Consulting, na konferencii Black Hat demonštroval, ako sa využitím bezpečnostnej diery v databázovom systéme Oracle 11g dá získať kontrola nad celou databázou. Obísť sa mu podarilo takisto funkciu Oracle Label Security, ktorá má na starosti kontrolu prístupu k informáciám uloženým v databáze, na základe nastavenej úrovne zabezpečenia.

Do hľadania zraniteľnosti v databázovom systéme Oracle 11g sa podľa vlastných slov pustil po tom, čo spoluzakladateľ spoločnosti Oracle Larry Ellison o tejto databáze vyhlásil, že je „neprelomiteľná“. Pri hackovaní databázového systému Oracle 11g Release 2 využil chybnú implementáciu Javy, a tak je možné, aby používateľ s nízkymi právami dokázal určitým postupom svoje práva eskalovať. Litchfield pri prednáške použil databázový systém Oracle 11g Enterprise Edition, na ktorom sa mu postupne podarilo získať úplnú kontrolu nad celou databázou.

Až do uvoľnenia oficiálnej záplaty David Litchfield odporúča, aby administrátori obmedzili spúšťanie určitých funkcií jazyka Java. Bezpečnosť databázového systému Oracle 11g by ohodnotil známkou B+ (na Slovensku 2-). Takéto hodnotenie je pre mnohých možno prekvapením, keďže databázam Oracle sa venoval približne 10 rokov, počas ktorých objavil veľké množstvo zraniteľností. Tvrdí, že oproti predošlej verzii urobili vývojári pokrok, čo sa týka bezpečnosti, ale zároveň kritizuje, že spoločnosť Oracle neodhalila ním objavené zraniteľnosti ešte počas vývoja produktu.

Pokrok v úrovni bezpečnosti produktu pripisuje najmä používaniu bezpečnostných nástrojov odhaľujúcich potenciálne zneužiteľné miesta v zdrojovom kóde. Vytkol však prílišnú závislosť firmy od týchto nástrojov, ktoré vždy neodhalia všetky zraniteľné miesta kódu programu. Litchfield oznámil aj to, že vo firme NGS končí a ďalej sa plánuje zamerať na oblasť počítačovej forenznej analýzy.

Zdroj:
www.networkworld.com
www.darkreading.com

Hodnotenie:
 

Súvisiace články:

 

Diskusia

 
 
  • Avatar MarekS B+ != 2- ale 2+
    poradie hodnoteni: A+; A; A-; B+; B; B- .....
    A=1; B=2; C=3 a podobne dalej.
    05.02.2010 22:38
     
    • Avatar balki Zavisi od stupnice. Na vysokej skole A = 1 E = 3 , B by bolo 1- . 05.02.2010 22:52  
    •  
       
  • Avatar alfonzik odkedy B+ == 2- ?? ak to zoberem z vysokoskolskeho hodnoteina B==1.5 => B+==1.5+; ak B==2 => 2+, ale skade je to minus.... 05.02.2010 13:14  
    • Avatar Element Tak si vezmi napríklad stredoškolské hodnotenie a tvoj život bude mať opäť zmysel. 05.02.2010 15:16  
    • Avatar zulu LOL 10.02.2010 00:37  
    • Avatar peco :D lol 02.04.2010 20:58  
    •  
       
 

Ďalšie články z kategórie

TS: BMW a Logica spolupracujú na zvyšovaní bezpečnosti a zlepšovaní prístupu zamestnancov a zákazníkov
Spoločnosť Logica poskytuje unifikované riadenie IT bezpečnosti pre viac ako 200 000 užívateľov z celého sveta... viac »
31.08.2010
 
TS: AVG a MokaFive spoločne zabezpečujú virtuálne desktopy
Prvé integrované riešenie, ktoré automaticky chráni bezpečnosť virtuálnych prostredí... viac »
26.08.2010
 
Microsoft: Vista sa obetovala za bezpečnejšie Windows
Operačný systém Windows Vista si u používateľov získal veľmi zlé meno a pravdepodobne najkritizovanejšia bola funkcia User Access Control (UAC), ktorá od používateľov žiada povolenie pri každom pokuse o využitie administrátorských práv... viac »
25.08.2010
 
TS: Panda Internet Security dosiahla podľa AV-Testu najlepšie výsledky za druhý kvartál roku 2010
Panda Internet Security dosiahla najlepšie výsledky v AV-Teste za druhý štvrťrok 2010 a získala certifikát tohto prestížneho nemeckého laboratória. Testy na všetky typy ochrany, vyčistenia a funkčnosti zvládla s nadpriemernými výsledkami. Podobne dopadli aj testy na obnovy počítačov infikovaných malware... viac »
24.08.2010
 
TS: CEO Trend Micro k ohlásenej akvizícii MacAffee firmou Intel
"Rozhodnutí Intelu koupit dodavatele bezpečnostního softwaru MacAffee chápeme jako jednoznačnou zprávu pro průmysl a investory, že bezpečnost je naprosto zásadní pro budoucí technologie, služby a produkty... viac »
23.08.2010