reklama

Strefa IBM System x

"..."Zarządzanie infrastruktura IT w obecnej chwili pochłania znaczną część budżetu IT. W odpowiedzi na tą sytuację IBM dołącza do serwerów IBM System x® system do zarządzania IBM Systems Director®, który oferuje obszerny zbiór narzędzi ułatwiających administrację.
Zapraszamy do strefy »

popularne komentowane nowości

popularne

Najczęściej czytane

Dziś Dzień Bezpiecznego Internetu 2010. Rusza kampania "Think B4 U post!" (czytane 4240 razy)
Trojan DatCrypt - zaszyfruje ci pliki, a za odblokowanie słono zapłacisz (czytane 3996 razy)
Flash i luki w witrynach - główne tematy Black Hat Washington (czytane 3612 razy)
USA: szkoła podglądała ucznia w domu za pomocą laptopa (czytane 2305 razy)
Microsoft: za "niebieski ekran śmierci" odpowiada rootkit (czytane 2301 razy)

więcej...

Biblioteka Wiedzy poleca

Nowa, inteligentna moc w serwerach

Nowe serwerowe procesory Intel oferują wiekszą szybkość, wydajność i inteligencje, adaptują się do potrzeb energetycznych
pobierz »

ERP dla średniej firmy: Od czego zacząć?

Wybór systemu ERP to jedna z najważniejszych decyzji podejmowanych przez przedsiębiorstwo. Dlatego powinny ją poprzedzić rzetelne przygotowania....
pobierz »

WatchGuard SSL 100: zdalny dostęp efektywnie i niedrogo

Szeroka gama aplikacji biznesowych isystemów, atakże coraz większe zróżnicowanie w lokalizacji i urządzeniach z których korzystają firmy spowodowała...
pobierz »

Więcej bezpłatnych raportów w serwisie

powiększ tekst

AKTUALNOŚCI

Black Hat: prezentacja luki "zero-day" w Oracle 11g

5 lutego 2010

securitystandard

David Litchfield, znany specjalista ds. bezpieczeństwa (i pracownik firmy NGS Consulting) zaprezentował na trwającej właśnie konferencji Black Hat nieznaną wcześniej lukę w zabezpieczeniach bazy danych Oracle 11g. Litchfield udowodnił też, że błąd ten umożliwia odpowiednio kompetentnemu "napastnikowi" przejęcie pełnej kontroli nad bazą.

Podczas swojej prezentacji ekspert pokazał, jak ów błąd można wykorzystać do obejścia zabezpieczeń wykorzystywanych w produktach Oracle (chodzi tu m.in. o system Oracle Label Security) oraz przejęcia pełnej kontroli nad bazą i uzyskania nieskrępowanego dostępu do danych

David Litchfield przypomniał, że szef Oracle'a, Larry Ellison, wielokrotnie deklarował, iż do bazy danych jego firmy nie da włamać. Ekspert już kilka razy dowiódł, że te słowa nie do końca są prawdziwe - dlatego też od pewnego czasu jego relacje z Oracle są "dość skomplikowane" (jak sam to określił Litchfield).

Najnowsza luka związana jest z błędnym zaimplementowaniem do Oracle 11g Release 2 obsługi Javy - okazuje się, że w pewnym okolicznościach użytkownik o niskich przywilejach może uzyskać dostęp do usług i zasobów, które powinny być dostępne wyłącznie dla administratora (przyczyną są zbyt słabe domyślne zabezpieczenia pewnych zasobów). Podczas prezentacji Litchfield krok po kroku pokazał, jak stosując odpowiednie polecenia i sztuczki zwykły użytkownik może przyznać sobie prawa "admina" i przejąć kontrolę nad bazą.

Dopóki firma Oracle - która została już powiadomiona o problemie - nie udostępni odpowiedniego uaktualnienia, specjalista zaleca administratorom baz danych wyłączenie publicznego dostępu do niektórych narzędzi opartych o Javę. Litchfield dodał też, że poprawki powinny pojawić się już wkrótce - wtedy też opublikowane zostanie szczegółowe opracowanie na temat problemu.

Zdaniem eksperta, bezpieczeństwo nowych produktów Oracle można śmiało ocenić na 4+, aczkolwiek Litchfield zastrzegł, że błędy, o których była mowa na Black Hat, firma powinna wykryć sama znacznie wcześniej, podczas rutynowych testów. Co więcej - gdyby programiści Oracle stosowali odpowiednie praktyki dotyczące tworzenia bezpiecznego kodu, to błędy takie w ogóle nie powinny się pojawić w gotowym produkcie. "Wygląda na to, że Oracle pokłada zbyt duże zaufanie w aplikacjach do wykrywania błędów, które są wykorzystywane dopiero po ukończeniu prac nad produktami" - tłumaczył prelegent.

Pod koniec swojego wystąpienia David Litchfield poinformował uczestników BlackHat, że właśnie zakończył wieloletnią współpracę z NGS Consulting. Zapowiedział też, że teraz zamierza zająć się informatyką śledczą - ale szczegółowych planów na razie nie zdradził.

Wystaw ocenę:

Średnia ocena (liczba głosów: 2)

wydrukuj

wyślij do znajomego

Komentarze

Redakcja securitystandard.pl - bezpieczeństwo IT , aktualnosci, porady, produkty nie ponosi odpowiedzialności za wypowiedzi Internautów opublikowane na stronach serwisu oraz zastrzega sobie prawo do redagowania, skracania bądź usuwania komentarzy zawierających treści zabronione przez prawo, uznawane za obraźliwie lub naruszające zasady współżycia społecznego. Osoby zamieszczające wypowiedzi naruszające prawo lub prawem chronione dobra osób trzecich mogą ponieść z tego tytułu odpowiedzialność karną lub cywilną.

Liczba zatwierdzonych komentarzy (8) |
dodaj komentarz |
zobacz wszystkie

~darek

ocena: brak oceny
IP: 194.33.185.120
05-02-2010, 08:28

Jak rozumiem, Pan Litchfield upublicznia wiedzę, która umożliwia popełnianie przestępstw, a chwilę później pracuje jako ekspert od ich wyjaśniania.

~Gość

ocena: 5
IP: 85.128.36.194
05-02-2010, 08:43

Jak zywkle zrakowaciała Java i mentalność ludzi zafiksowanych na niej.

Regulamin i polityka prywatności
Kontakt