Black Hat: prezentacja luki "zero-day" w Oracle 11g

securitystandard.pl 5 lutego 2010 04:22 securitystandard
David Litchfield, znany specjalista ds. bezpieczeństwa (i pracownik firmy NGS Consulting) zaprezentował na trwającej właśnie konferencji Black Hat nieznaną wcześniej lukę w zabezpieczeniach bazy danych Oracle 11g. Litchfield udowodnił też, że błąd ten umożliwia odpowiednio kompetentnemu "napastnikowi" przejęcie pełnej kontroli nad bazą.
Podczas swojej prezentacji ekspert pokazał, jak ów błąd można wykorzystać do obejścia zabezpieczeń wykorzystywanych w produktach Oracle (chodzi tu m.in. o system Oracle Label Security) oraz przejęcia pełnej kontroli nad bazą i uzyskania nieskrępowanego dostępu do danych

David Litchfield przypomniał, że szef Oracle'a, Larry Ellison, wielokrotnie deklarował, iż do bazy danych jego firmy nie da włamać. Ekspert już kilka razy dowiódł, że te słowa nie do końca są prawdziwe - dlatego też od pewnego czasu jego relacje z Oracle są "dość skomplikowane" (jak sam to określił Litchfield).

Najnowsza luka związana jest z błędnym zaimplementowaniem do Oracle 11g Release 2 obsługi Javy - okazuje się, że w pewnym okolicznościach użytkownik o niskich przywilejach może uzyskać dostęp do usług i zasobów, które powinny być dostępne wyłącznie dla administratora (przyczyną są zbyt słabe domyślne zabezpieczenia pewnych zasobów). Podczas prezentacji Litchfield krok po kroku pokazał, jak stosując odpowiednie polecenia i sztuczki zwykły użytkownik może przyznać sobie prawa "admina" i przejąć kontrolę nad bazą.

Dopóki firma Oracle - która została już powiadomiona o problemie - nie udostępni odpowiedniego uaktualnienia, specjalista zaleca administratorom baz danych wyłączenie publicznego dostępu do niektórych narzędzi opartych o Javę. Litchfield dodał też, że poprawki powinny pojawić się już wkrótce - wtedy też opublikowane zostanie szczegółowe opracowanie na temat problemu.

Zdaniem eksperta, bezpieczeństwo nowych produktów Oracle można śmiało ocenić na 4+, aczkolwiek Litchfield zastrzegł, że błędy, o których była mowa na Black Hat, firma powinna wykryć sama znacznie wcześniej, podczas rutynowych testów. Co więcej - gdyby programiści Oracle stosowali odpowiednie praktyki dotyczące tworzenia bezpiecznego kodu, to błędy takie w ogóle nie powinny się pojawić w gotowym produkcie. "Wygląda na to, że Oracle pokłada zbyt duże zaufanie w aplikacjach do wykrywania błędów, które są wykorzystywane dopiero po ukończeniu prac nad produktami" - tłumaczył prelegent.

Pod koniec swojego wystąpienia David Litchfield poinformował uczestników BlackHat, że właśnie zakończył wieloletnią współpracę z NGS Consulting. Zapowiedział też, że teraz zamierza zająć się informatyką śledczą - ale szczegółowych planów na razie nie zdradził.


Podziel się |

Komentarze (8)

  • ~darek
  • 2010-02-05 08:28:50

Jak rozumiem, Pan Litchfield upublicznia wiedzę, która umożliwia popełnianie przestępstw, a chwilę później pracuje jako ekspert od ich wyjaśniania.

  • ~gość
  • 2010-02-05 08:43:46

Jak zywkle zrakowaciała Java i mentalność ludzi zafiksowanych na niej.

  • ~siwy
  • 2010-02-05 09:06:58

85.128.36.194, nie pozostaje nic jak ujawnić słodką tajemnicę jakich narzędzi użyć do stworzenia bezpiecznej i wydajnej bazy danych, a nastepnie samemu się zastanowić jak to jest że firma produkująca te cudowne narzędzia jak też i bazy nie potrafi takich aplikacji (czyli szybkich i bezpiecznych) stworzyć. To tak drogi tadku (chyba) w kwestii zafixowania na produktach MS.

  • ~gość
  • 2010-02-05 09:22:16

siwy: co innego mieć ciągle dodatkowe problemy z javą wynikajace z jej zrakowacenia a co innego mieć błędy wynikające tylko z tego, że każdy system tworzą ludzie i starać się używać tylko aktualnych rozwiązań i technologii bez zabobonów z dawnych lat. Nie można wyznawać spójnego poglądu, że skoro nie jest momożliwy ideał, to jest akceptowalna dowolnośc w stosowaniu technologii, nawet takich co dodają (by design) sterty problemów - bo akurat to umieją pracownicy. Co do MS, to fajnie jest umieć coś wiecej. Ja wolę mieć jeden framework zamist kilku (czy kilkunastu mniejszych) i marnowac czas na ich wybieranie i dobieranie bo żaden nie jest elastyczny lub optymalny w moich problemach - tak jak to ma niestety java.

  • ~siwy
  • 2010-02-05 10:10:45

OK. który z tych frameworków pozwoliłby Ci stworzyć bazę działającą na x86, SPARC, PPC, pod Windowsem, Unixami, Linuxem itp?

  • ~phi
  • 2010-02-05 10:21:24

Tadziu ograniczanie się do jednej, mało wydajnej i fatalnie zaprojektowanej platformy (Microsoft Windows w środowisku Intel x86) jest jeszcze gorszym zrakowaceniem od wieloplatformowej i uznanej za standard Javy.

  • ~Mołot
  • 2010-02-05 10:40:24

@Darek Pan Litchfield upublicznia wiedzę, która umożliwia popełnianie przestępstw - po to, by posiedli ją nie tylko przestępcy (bo oni mają wiedzę i tak), ale także firmy odpowiedzialne oraz klienci zagrożeni atakiem.

  • Scorcerer
  • 2010-02-05 13:17:34

"co innego mieć ciągle dodatkowe problemy z javą wynikajace z jej zrakowacenia a co innego mieć błędy wynikające tylko z tego, że każdy system tworzą ludzie i starać się używać tylko aktualnych rozwiązań i technologii bez zabobonów z dawnych lat." W artykule jest napisane jak byk: "przyczyną są zbyt słabe domyślne zabezpieczenia pewnych zasobów" Czyli jak błąd jest choćby ZWIĄZANY z Javą, to winna jest ta "zrakowaciała" (ciekawe słowo) Java, kulawa implementacja prawdziwego języka programowania jakim jest ... A jak błąd jest spowodowany kiepska architekturą języka programowania ... to oczywiście wina leży po stronie kretyńskich programistów, którzy nie potrafią dobrze wykorzystać wspaniałych i jedynych w swoim rodzaju możliwości Jedynego Prawdziwego I Wszystkomającego języka ... którego powinni używać wszyscy bo wtedy świat byłby lepszy? Mylę się gdzieś?

reklama

Popularne produkty

Nokaut
Hipnoza zrzuć kilogramy bez diety

Hipnoza zrzuć kilogramy bez diety

w 5 sklepach od 18,45 zł
Hipnoza zrzuć kilogramy bez diety
Rozmowa kwalifikacyjna

Rozmowa kwalifikacyjna

w 16 sklepach od 29,03 zł
Rozmowa kwalifikacyjna
Calvin Klein Eternity, 100ml woda perfumowana

Calvin Klein Eternity, 100ml woda perfumowana

w 38 sklepach od 101,65 zł
Calvin Klein Eternity, 100ml woda perfumowana

PC World z prezentem!

Tak, zamawiam 12 wydań PC World po 14,09 zł każde (zamiast 19,90 zł) od numeru 6/2012.
Dodatkowo program Panda Antyvirus Pro 2012,
chroniący aż 3 komputery, dostanę za darmo.

PC World 6/2012
Nowy numer PC World 6/2011
Razem: 169


  • Z darmową wysyłką
Wyrażam zgodę na wykorzystywanie mojego adresu email do celów marketingowych. rozwiń »

Pobierz bezpłatnego e-booka

20 lat polskiej sieci
Ebook 20 lat polskiej sieci to kompletna charakterystyka polskiego internetu (oraz polskiego internauty). Odpowiadamy na pytanie, jak wygląda nasz kraj na tle bliższych i dalszych europejskich sąsiadów pod względem popularyzacji szerokopasmowych łączy internetowych i rynku mobilnego. Wymieniamy również wady i zalety korzystania z bezpłatnych punktów dostępowych.
Jeśli chcesz otrzymać darmowego e-booka, wpisz swój adres e-mail. Wyślemy Ci go natychmiast!
Wyrażam zgodę na wykorzystywanie mojego adresu email do celów marketingowych. rozwiń »

  Kariera w IT 2012

Kariera w IT 2012
Uczelnie, rynek pracy, rekrutacja, pracodawcy, rozwój zawodowy - czyli wszystko, co chcielibyście wiedzieć o pracy specjalistów IT w Polsce. Piszemy jakie uczelnie wybrać, dlaczego warto studiować informatykę i kierunki techniczne, jak wygląda proces rekrutacji i jak dobrze wypaść przed pracodawcą, opisujemy pracodawców - firmy IT - i możliwe ścieżki kariery.
zobacz więcej »

  Rekomendacje

reklama
reklama
Warunki obsługi - Kontakt - Regulamin - Polityka prywatności
Serwis zgodny z ASME - Serwisy IDG - Reklama -
Prenumerata: PC World, Computerworld, Networld
© Copyright 2012 International Data Group Poland S.A.
04-204 Warszawa ul. Jordanowska 12
tel.(+4822)321-78-00   fax(+4822)321-78-88
Archiwum wiadomości: 2011 2010 2009 2008 2007 2006 2005 2004 2003 2002 2001