David Litchfield, werkzaam bij NGS consulting, heeft de bewering die de hoogste baas van Oracle, Larry Ellison, in 2001 deed over zijn 'onkraakbare database' goed in zijn oren geknoopt. Tijdens een demonstratie op Black Hat toont hij nu aan dat een gebruiker van de Oracle 11g Enterprise Edition de beveiliging van de database kan omzeilen, om zichzelf vervolgens meer privileges toe te kennen dan de bedoeling is.

Het probleem zit hem in de manier waarop Java geïmplementeerd is in Oracle 11g Release 2. Gebruikers kunnen door een wel erg soepele standaard privilege-instellingen zichzelf extra privileges toe-eigenen.

Beveiliging

Totdat Oracle de zero-day fouten repareert, adviseert de beveiligingsveteraan public execute access in te trekken naar bepaalde op Java gebaseerde functies. Hij verwacht dat Oracle het gat snel dicht.

Litchfield geeft de beveiliging van Oracle een 8 in de huidige versie van de database. Hij bestempelt de huidige versie dan ook als een verbetering ten opzichte van de vorige versie, maar verwijt Oracle wel dat ze dit probleem niet gevonden hebben tijdens de ontwikkeling van het product. Oracle zou te veel van beveiligingstools afhankelijk zijn om problemen te vinden in het product nadat het al gelanceerd is.

Bron: Techworld.nl