Na Black Hat hackol Oracle 11g
Publikované pred rokom: 05.02.2010 / Ján Chovanec, čítaní: 3199
Známy bezpečnostný expert David Litchfield, výskumný pracovník firmy NGS Consulting, na konferencii Black Hat demonštroval, ako sa využitím bezpečnostnej diery v databázovom systéme Oracle 11g dá získať kontrola nad celou databázou. Obísť sa mu podarilo takisto funkciu Oracle Label Security, ktorá má na starosti kontrolu prístupu k informáciám uloženým v databáze, na základe nastavenej úrovne zabezpečenia.
Do hľadania zraniteľnosti v databázovom systéme Oracle 11g sa podľa vlastných slov pustil po tom, čo spoluzakladateľ spoločnosti Oracle Larry Ellison o tejto databáze vyhlásil, že je „neprelomiteľná“. Pri hackovaní databázového systému Oracle 11g Release 2 využil chybnú implementáciu Javy, a tak je možné, aby používateľ s nízkymi právami dokázal určitým postupom svoje práva eskalovať. Litchfield pri prednáške použil databázový systém Oracle 11g Enterprise Edition, na ktorom sa mu postupne podarilo získať úplnú kontrolu nad celou databázou.
Až do uvoľnenia oficiálnej záplaty David Litchfield odporúča, aby administrátori obmedzili spúšťanie určitých funkcií jazyka Java. Bezpečnosť databázového systému Oracle 11g by ohodnotil známkou B+ (na Slovensku 2-). Takéto hodnotenie je pre mnohých možno prekvapením, keďže databázam Oracle sa venoval približne 10 rokov, počas ktorých objavil veľké množstvo zraniteľností. Tvrdí, že oproti predošlej verzii urobili vývojári pokrok, čo sa týka bezpečnosti, ale zároveň kritizuje, že spoločnosť Oracle neodhalila ním objavené zraniteľnosti ešte počas vývoja produktu.
Pokrok v úrovni bezpečnosti produktu pripisuje najmä používaniu bezpečnostných nástrojov odhaľujúcich potenciálne zneužiteľné miesta v zdrojovom kóde. Vytkol však prílišnú závislosť firmy od týchto nástrojov, ktoré vždy neodhalia všetky zraniteľné miesta kódu programu. Litchfield oznámil aj to, že vo firme NGS končí a ďalej sa plánuje zamerať na oblasť počítačovej forenznej analýzy.
Zdroj:
www.networkworld.com
www.darkreading.com
Prečítajte si tiež:
Váš názor:
-
B+ != 2- ale 2+
poradie hodnoteni: A+; A; A-; B+; B; B- .....
A=1; B=2; C=3 a podobne dalej. 05.02.2010 22:38-
Zavisi od stupnice. Na vysokej skole A = 1 E = 3 , B by bolo 1- .
05.02.2010 22:52
-
-
-
odkedy B+ == 2- ?? ak to zoberem z vysokoskolskeho hodnoteina B==1.5 => B+==1.5+; ak B==2 => 2+, ale skade je to minus....
05.02.2010 13:14
-
Tak si vezmi napríklad stredoškolské hodnotenie a tvoj život bude mať opäť zmysel.
05.02.2010 15:16
-
LOL
10.02.2010 00:37
-
:D lol
02.04.2010 20:58
-
-
Najviac vás zaujalo
24 hodín
- Americkí inžinieri predviedli náboj navádzaný laserom
- Prečo je dohoda ACTA dôležitá a zlá
- Vedci prečítali reč v ľudskom mozgu
- Ako zabrániť Googlu, aby vás sledoval?
- Xappr Gun – laserová pištoľ pre inteligentné telefóny
-
Dĺžka:00:16:42
HTC EVO 3D -
Dĺžka:00:12:12
Bose SoundDock Portable a Bose Computer MusicMonitor -
Dĺžka:00:08:32
Superbook Samsung NP900X -
Dĺžka:00:11:50
ASUS ZENBOOK UX21
týždeň
- Ako zabrániť Googlu, aby vás sledoval?
- AfterShokz – slúchadlá ktoré si nedáte do uší
- Gorila: Anonymous znefunkčnili Prima banku, internet banking funguje
- Vedci vyrobili multiprocesorový 3D čip
- Infikované aplikácie pre Android nakazili milióny prístrojov
- Petícia za „etickejší“ iPhone 5
- OLED displej mobilného telefónu pomôže dobíjať batériu
- Turistom zakázali vstup do USA pre Twitter
mesiac
- Kauza SOPA – čo s tým „hollywoodskym“ zákonom?
- FBI zrušila službu Megaupload, Anonymous útočia
- Vulgárna Siri vynadala chlapcovi
- Americké firmy sa vyhrážajú globálnym výpadkom internetu
- Steve Wozniak si myslí, že Android v niektorých veciach predstihol iPhone
- Vodíkový článok nabije fotoaparát či mobil – stačí mu aj voda z kaluže
- Ako zabrániť Googlu, aby vás sledoval?
- Windows 8 zmení pohľad na pevné disky
Najnovšie články
Copyrightovej koalícii prekážajú odkazy na pirátske weby
(Publikované pred 20 hodinami) Koalícia majiteľov autorských práv lobuje u britských zákonodarcov za odstránenie "pirátskych odkazov" z výsledkov internetových vyhľadávačov. Problémy s kontroverznými zákonmi alebo ich návrhy nemajú len v USA. Podobné prípady sa objavujú aj vo Veľkej Británii. čítať »Prečo je dohoda ACTA dôležitá a zlá
(Publikované pred 20 hodinami) Kontroverzný návrh zákona ACTA (Anti-Counterfeiting Trade Agreement) je dnes veľmi frekventovaná téma v médiách. Až doposiaľ sa o ňom rokovalo za zatvorenými dverami, no teraz je dokončený a podpísala ho väčšina vyspelých krajín sveta, ktoré pripravujú jeho ratifikáciu. čítať »Verejný MIDI exploit už využívajú hackeri
(Publikované pred 2 dňami) Kritická bezpečnostná diera, na ktorú spoločnosť Microsoft vydala záplatu začiatkom mesiaca, je aktívne využívaná hackermi. Upozorňujú na to experti z bezpečnostnej firmy Trend Micro. čítať »Ako zabrániť Googlu, aby vás sledoval?
(Publikované pred 2 dňami) Google od 1. marca mení nastavenie súkromia pre používateľov svojich služieb. Pokiaľ sa bojíte, že by ste s Googlom zdieľali až priveľa osobných informácií, vždy existuje riešenie, ako to obmedziť. čítať »INFOWARE
PCREVUE
Použivateľský panel
Ako pracovat s RSS
Copyright © 2009 Digital Visions, spol. s r.o. | Technology Comsultia | Powered by Cyclone3 XUL CMS | Podmienky používania