Gat in beveiliging Oracle 11g database
Gepubliceerd: Donderdag 4 februari 2010
Auteur: Chris Broesder
De beveiligingsonderzoeker David Litchfield, werkzaam bij NGS consulting, heeft een zero-day hack blootgelegd in de Oracle 11g database. Hij liet zien hoe de beveiliging omzeild kan worden, zodat een ervaren gebruiker volledige controle en toegang kan krijgen.
Toen Litchfield in 2001 hoorde dat de hoogste baas van Oracle, Larry Ellison, zijn database unbreakable had verklaard, hield hij dit in zijn achterhoofd. Nu heeft hij bij een demonstratie op Black Hat aangetoond dat een gebruiker van de Oracle 11g Enterprise Edition de beveiliging van de database kan omzeilen, om zichzelf vervolgens meer privileges toe te kennen dan de bedoeling is. Het probleem zit hem in de manier waarop Java geïmplementeerd is in Oracle 11g Release 2. Door een wel erg soepel default privilege dat een gebruiker met weinig rechten standaard krijgt, kan hij zichzelf extra privileges toe-eigenen.
BeveiligingTotdat Oracle de zero-day fouten repareert, adviseert de beveiligingsveteraan public execute access in te trekken naar bepaalde op Java gebaseerde functies. Hij verwacht dat Oracle het gat snel dicht.
Litchfield geeft de beveiliging van Oracle een 8 in de huidige versie van de database. Hij bestempelt de huidige versie dan ook als een verbetering ten opzichte van de vorige versie, maar verwijt Oracle wel dat ze dit probleem niet gevonden hebben tijdens de ontwikkeling van het product. Oracle zou te veel van beveiligingstools afhankelijk zijn om problemen te vinden in het product nadat het al gelanceerd is.
Bron: Techworld
De rubriek Tips & Tools biedt praktische informatie die IT-professionals in hun dagelijkse werk kunnen toepassen.
