Podziel się opinią o serwisie
popularne komentowane nowości

Biblioteka Wiedzy poleca

Office 365 - podręcznik użytkownika

Ta książka pokaże Ci, jak wykorzystać chmurowe przetwarzanie danych - a konkretnie Office 365 - aby robić więcej, współpracować łatwiej i działać...
pobierz »

Jak zwiększyć wydajność infrastruktury serwerowej oszczędzając czas i pieniądze? Nowoczesne rozwiązania serwerowe

Niniejszy dokument ma na celu zaprezentowanie sposobów na poprawę funkcjonowania i efektywności działania infrastruktury serwerowej w firmie lub...
pobierz »

Dlaczego warto korzystać z Office 365?

Jakie funkcje i możliwości Microsoft Office 365 decydują o tym, że warto wybrać to rozwiązanie zamiast tradycyjnego pakietu Office i rozwiązań...
pobierz »

Więcej bezpłatnych raportów w serwisie
powiększ tekst >
AKTUALNOŚCI

Black Hat: prezentacja luki "zero-day" w Oracle 11g

5 lutego 2010

securitystandard
David Litchfield, znany specjalista ds. bezpieczeństwa (i pracownik firmy NGS Consulting) zaprezentował na trwającej właśnie konferencji Black Hat nieznaną wcześniej lukę w zabezpieczeniach bazy danych Oracle 11g. Litchfield udowodnił też, że błąd ten umożliwia odpowiednio kompetentnemu "napastnikowi" przejęcie pełnej kontroli nad bazą.

Podczas swojej prezentacji ekspert pokazał, jak ów błąd można wykorzystać do obejścia zabezpieczeń wykorzystywanych w produktach Oracle (chodzi tu m.in. o system Oracle Label Security) oraz przejęcia pełnej kontroli nad bazą i uzyskania nieskrępowanego dostępu do danych

David Litchfield przypomniał, że szef Oracle'a, Larry Ellison, wielokrotnie deklarował, iż do bazy danych jego firmy nie da włamać. Ekspert już kilka razy dowiódł, że te słowa nie do końca są prawdziwe - dlatego też od pewnego czasu jego relacje z Oracle są "dość skomplikowane" (jak sam to określił Litchfield).

Najnowsza luka związana jest z błędnym zaimplementowaniem do Oracle 11g Release 2 obsługi Javy - okazuje się, że w pewnym okolicznościach użytkownik o niskich przywilejach może uzyskać dostęp do usług i zasobów, które powinny być dostępne wyłącznie dla administratora (przyczyną są zbyt słabe domyślne zabezpieczenia pewnych zasobów). Podczas prezentacji Litchfield krok po kroku pokazał, jak stosując odpowiednie polecenia i sztuczki zwykły użytkownik może przyznać sobie prawa "admina" i przejąć kontrolę nad bazą.

Dopóki firma Oracle - która została już powiadomiona o problemie - nie udostępni odpowiedniego uaktualnienia, specjalista zaleca administratorom baz danych wyłączenie publicznego dostępu do niektórych narzędzi opartych o Javę. Litchfield dodał też, że poprawki powinny pojawić się już wkrótce - wtedy też opublikowane zostanie szczegółowe opracowanie na temat problemu.

Zdaniem eksperta, bezpieczeństwo nowych produktów Oracle można śmiało ocenić na 4+, aczkolwiek Litchfield zastrzegł, że błędy, o których była mowa na Black Hat, firma powinna wykryć sama znacznie wcześniej, podczas rutynowych testów. Co więcej - gdyby programiści Oracle stosowali odpowiednie praktyki dotyczące tworzenia bezpiecznego kodu, to błędy takie w ogóle nie powinny się pojawić w gotowym produkcie. "Wygląda na to, że Oracle pokłada zbyt duże zaufanie w aplikacjach do wykrywania błędów, które są wykorzystywane dopiero po ukończeniu prac nad produktami" - tłumaczył prelegent.

Pod koniec swojego wystąpienia David Litchfield poinformował uczestników BlackHat, że właśnie zakończył wieloletnią współpracę z NGS Consulting. Zapowiedział też, że teraz zamierza zająć się informatyką śledczą - ale szczegółowych planów na razie nie zdradził.
Wystaw ocenę:
    Średnia ocena (liczba głosów: 2)
wydrukuj wydrukuj wyslij do znajomegowyślij do znajomego

Komentarze

~darek

  • ocena: brak oceny
  • IP: 194.33.185.120
  • 05-02-2010, 08:28

Jak rozumiem, Pan Litchfield upublicznia wiedzę, która umożliwia popełnianie przestępstw, a chwilę później pracuje jako ekspert od ich wyjaśniania.

~Gość

  • ocena: 5
  • IP: 85.128.36.194
  • 05-02-2010, 08:43

Jak zywkle zrakowaciała Java i mentalność ludzi zafiksowanych na niej.