В СУБД Oracle 11g обнаружена критически опасная уязвимость

@mik-a-el · Регистрация: 10.04.2006

Author24 — интернет-сервис помощи студентам

В рамках проходящей в США технической конференции Black Hat ИТ-эксперты компании NGS Consulting сообщили о наличии критически опасной уязвимости в популярной СУБД Oracle 11g. Обнаруженная уязвимость предоставляет атакующему полный неограниченный удаленный доступ к базе.

Девид Литчфилд, технический специалист NGS, в рамках своего доклада продемонстрировал возможность поднятия привилегий в Oracle 11g для получения полного контроля над данными. По словам эксперта, на поиск уязвимостей в программном обеспечении его подвигли слова главы Oracle Ларри Эллисона о том, что их база данных "невзламываемая".

Литчфилд говорит, что обнаруженный его компанией баг эксплуатирует виртуальную машину Java, работающую вместе с СУБД. Для того, чтобы использовать эксплоит, у пользователя должна быть хоть какая-то учетная запись на сервере баз данных и через существующие для него легитимные привилегии он может выдать сам себе повышенные права на доступ к данным.

В своей демонстрации Литчфилд показал возможность обхода системы безопасности Oracle Label Security, применяемой для управления принудительным доступом к информации. По словам эксперта, до тех пор, пока Oracle не закрыла данную уязвимость клиентам компании следует уделить максимальное внимание публичным аккаунтам, а также некоторым Java-функциям.

cybersecurity.ru

@Laba · 04.02.2010, 17:39

Про это ещё в 9-ке было (наверное, уже больше 4 лет как прошло). Если запущена java-машина, то про безопасность можно забыть.

@Lord_Voodoo · 04.02.2010, 17:45

да мне еще в универе говорили, что виртуальная машина java - это дыра в безопасности, а нам уже все равно, мы на postgre переходим

@mik-a-el Администратор 83610 / 52188 / 244 Регистрация: 10.04.2006 Сообщений: 13,425
		1
	В СУБД Oracle 11g обнаружена критически опасная уязвимость 04.02.2010, 15:56. Показов 1505. Ответов 2 Метки нет (Все метки) В рамках проходящей в США технической конференции Black Hat ИТ-эксперты компании NGS Consulting сообщили о наличии критически опасной уязвимости в популярной СУБД Oracle 11g. Обнаруженная уязвимость предоставляет атакующему полный неограниченный удаленный доступ к базе. Девид Литчфилд, технический специалист NGS, в рамках своего доклада продемонстрировал возможность поднятия привилегий в Oracle 11g для получения полного контроля над данными. По словам эксперта, на поиск уязвимостей в программном обеспечении его подвигли слова главы Oracle Ларри Эллисона о том, что их база данных "невзламываемая". Литчфилд говорит, что обнаруженный его компанией баг эксплуатирует виртуальную машину Java, работающую вместе с СУБД. Для того, чтобы использовать эксплоит, у пользователя должна быть хоть какая-то учетная запись на сервере баз данных и через существующие для него легитимные привилегии он может выдать сам себе повышенные права на доступ к данным. В своей демонстрации Литчфилд показал возможность обхода системы безопасности Oracle Label Security, применяемой для управления принудительным доступом к информации. По словам эксперта, до тех пор, пока Oracle не закрыла данную уязвимость клиентам компании следует уделить максимальное внимание публичным аккаунтам, а также некоторым Java-функциям. cybersecurity.ru 1

@Laba 105 / 75 / 0 Регистрация: 29.06.2009 Сообщений: 328
	04.02.2010, 17:39	2
	Про это ещё в 9-ке было (наверное, уже больше 4 лет как прошло). Если запущена java-машина, то про безопасность можно забыть. 0

@Lord_Voodoo Супер-модератор 8783 / 2536 / 144 Регистрация: 07.03.2007 Сообщений: 11,873
	04.02.2010, 17:45	3
	да мне еще в универе говорили, что виртуальная машина java - это дыра в безопасности, а нам уже все равно, мы на postgre переходим 0

Опции темы