Toen Litchfield in 2001 hoorde dat de hoogste baas van Oracle, Larry Ellison, zijn database unbreakable had verklaard, hield hij dit in zijn achterhoofd. Nu heeft hij bij een demonstratie op Black Hat aangetoond dat een gebruiker van de Oracle 11g Enterprise Edition de beveiliging van de database kan omzeilen, om zichzelf vervolgens meer privileges toe te kennen dan de bedoeling is. Het probleem zit hem in de manier waarop Java geïmplementeerd is in Oracle 11g Release 2. Door een wel erg soepel default privilege dat een gebruiker met weinig rechten standaard krijgt, kan hij zichzelf extra privileges toe-eigenen.

Beveiliging

Totdat Oracle de zero-day fouten repareert, adviseert de beveiligingsveteraan public execute access in te trekken naar bepaalde op Java gebaseerde functies. Hij verwacht dat Oracle het gat snel dicht.

Litchfield geeft de beveiliging van Oracle een 8 in de huidige versie van de database. Hij bestempelt de huidige versie dan ook als een verbetering ten opzichte van de vorige versie, maar verwijt Oracle wel dat ze dit probleem niet gevonden hebben tijdens de ontwikkeling van het product. Oracle zou te veel van beveiligingstools afhankelijk zijn om problemen te vinden in het product nadat het al gelanceerd is. Bron: Techworld