reklama

Strefa IBM System x

"..."Zarządzanie infrastruktura IT w obecnej chwili pochłania znaczną część budżetu IT. W odpowiedzi na tą sytuację IBM dołącza do serwerów IBM System x® system do zarządzania IBM Systems Director®, który oferuje obszerny zbiór narzędzi ułatwiających administrację.
Zapraszamy do strefy »

popularne komentowane nowości

popularne

Najczęściej czytane

Ukryta wiadomość w logo jednostki do walki z cyberterroryzmem (czytane 5185 razy)
Nowe narzędzia do łamania GSM (czytane 3608 razy)
CRASH - system odpornościowy dla sieci (czytane 3560 razy)
Jeden z deweloperów włamał się do App Store i iTunes (czytane 3508 razy)
Przynęty na hakerów (czytane 3308 razy)

więcej...

Biblioteka Wiedzy poleca

Dynamiczna kostka: moc wirtualizacji w olsztyńskim RCI

Niższe rachunki za energię, wysoka wydajność i zwiększona dostępność systemu - to korzyści w obszarze IT jakie Uniwersytet Warmińsko Mazurski uzyskał...
pobierz »

Raport o internetowych zagrożeniach bezpieczeństwa

"Internet Security Threat Report" - kolejna edycja znanego raportu firmy Symantec zawierającego globalny przegląd stanu bezpieczeństwa w Internecie....
pobierz »

Implementing IBM Systems Director 6.1

Poznaj możliwości noweczesnego systemu zarządzającego całą infrastrukturą IT. IBM Systems Director 6.1. jest jedynym na rynku bezpłatnym systemem o...
pobierz »

Więcej bezpłatnych raportów w serwisie

powiększ tekst

AKTUALNOŚCI

Black Hat: prezentacja luki "zero-day" w Oracle 11g

5 lutego 2010

securitystandard

David Litchfield, znany specjalista ds. bezpieczeństwa (i pracownik firmy NGS Consulting) zaprezentował na trwającej właśnie konferencji Black Hat nieznaną wcześniej lukę w zabezpieczeniach bazy danych Oracle 11g. Litchfield udowodnił też, że błąd ten umożliwia odpowiednio kompetentnemu "napastnikowi" przejęcie pełnej kontroli nad bazą.

Podczas swojej prezentacji ekspert pokazał, jak ów błąd można wykorzystać do obejścia zabezpieczeń wykorzystywanych w produktach Oracle (chodzi tu m.in. o system Oracle Label Security) oraz przejęcia pełnej kontroli nad bazą i uzyskania nieskrępowanego dostępu do danych

David Litchfield przypomniał, że szef Oracle'a, Larry Ellison, wielokrotnie deklarował, iż do bazy danych jego firmy nie da włamać. Ekspert już kilka razy dowiódł, że te słowa nie do końca są prawdziwe - dlatego też od pewnego czasu jego relacje z Oracle są "dość skomplikowane" (jak sam to określił Litchfield).

Najnowsza luka związana jest z błędnym zaimplementowaniem do Oracle 11g Release 2 obsługi Javy - okazuje się, że w pewnym okolicznościach użytkownik o niskich przywilejach może uzyskać dostęp do usług i zasobów, które powinny być dostępne wyłącznie dla administratora (przyczyną są zbyt słabe domyślne zabezpieczenia pewnych zasobów). Podczas prezentacji Litchfield krok po kroku pokazał, jak stosując odpowiednie polecenia i sztuczki zwykły użytkownik może przyznać sobie prawa "admina" i przejąć kontrolę nad bazą.

Dopóki firma Oracle - która została już powiadomiona o problemie - nie udostępni odpowiedniego uaktualnienia, specjalista zaleca administratorom baz danych wyłączenie publicznego dostępu do niektórych narzędzi opartych o Javę. Litchfield dodał też, że poprawki powinny pojawić się już wkrótce - wtedy też opublikowane zostanie szczegółowe opracowanie na temat problemu.

Zdaniem eksperta, bezpieczeństwo nowych produktów Oracle można śmiało ocenić na 4+, aczkolwiek Litchfield zastrzegł, że błędy, o których była mowa na Black Hat, firma powinna wykryć sama znacznie wcześniej, podczas rutynowych testów. Co więcej - gdyby programiści Oracle stosowali odpowiednie praktyki dotyczące tworzenia bezpiecznego kodu, to błędy takie w ogóle nie powinny się pojawić w gotowym produkcie. "Wygląda na to, że Oracle pokłada zbyt duże zaufanie w aplikacjach do wykrywania błędów, które są wykorzystywane dopiero po ukończeniu prac nad produktami" - tłumaczył prelegent.

Pod koniec swojego wystąpienia David Litchfield poinformował uczestników BlackHat, że właśnie zakończył wieloletnią współpracę z NGS Consulting. Zapowiedział też, że teraz zamierza zająć się informatyką śledczą - ale szczegółowych planów na razie nie zdradził.

Wystaw ocenę:

Średnia ocena (liczba głosów: 2)

wydrukuj

wyślij do znajomego

Komentarze

Redakcja securitystandard.pl - bezpieczeństwo IT , aktualnosci, porady, produkty nie ponosi odpowiedzialności za wypowiedzi Internautów opublikowane na stronach serwisu oraz zastrzega sobie prawo do redagowania, skracania bądź usuwania komentarzy zawierających treści zabronione przez prawo, uznawane za obraźliwie lub naruszające zasady współżycia społecznego. Osoby zamieszczające wypowiedzi naruszające prawo lub prawem chronione dobra osób trzecich mogą ponieść z tego tytułu odpowiedzialność karną lub cywilną.

Liczba zatwierdzonych komentarzy (8) |
dodaj komentarz |
zobacz wszystkie

~darek

ocena: brak oceny
IP: 194.33.185.120
05-02-2010, 08:28

Jak rozumiem, Pan Litchfield upublicznia wiedzę, która umożliwia popełnianie przestępstw, a chwilę później pracuje jako ekspert od ich wyjaśniania.

~Gość

ocena: 5
IP: 85.128.36.194
05-02-2010, 08:43

Jak zywkle zrakowaciała Java i mentalność ludzi zafiksowanych na niej.

Regulamin i polityka prywatności
Kontakt