• Vulnerabilidade Encontrada no Oracle 11g R2 Permite que Usuário Comum Modifique Privilégios

    O Oracle, um dos bancos de dados mais utilizados e considerado um dos mais seguros, apresentou a existência de algumas vulnerabilidades em relação à sua recente versão 11gr2. Estas brechas que foram encontradas no database, podem ser exploradas no intuito de permitir o total acesso de um usuário comum ao SGBD (Sistema Gerenciador de Banco de Dados). O alerta sobre a existência desta falha, foi feito pelo especialista britânico da área de segurança, David Litchfield [3]. Durante a Black Hat DC 2010 (Conferência de Segurança Black Hat) realizada em Arlington, no estado norte-americano da Virgínia, Litchfield fez uma demonstração de como driblar o Selo de Segurança Oracle (Oracle Label Security), utilizado para limitar todo e qualquer controle de acesso às informações constantes no database, de acordo com o nível de segurança de quem estiver autorizado à acessá-lo.



    Com uma vasta experiência no ramo em questão, o especialista falou sobre a sensação de que suas habilidades estavam sendo colocadas em xeque pelo presidente e diretor executivo da Oracle, Larry Ellison. Ele teria afirmado, que o seu banco de dados era "totalmente blindado", ou seja, nada seria capaz de quebrá-lo. David Litchfield [3] ainda relatou o surgimento de uma espécie de "permissão padronizada" totalmente exposta, devido à forma como o componente Java foi implementado no Release 2 do Oracle 11g.

    Em uma demonstração feita através do Oracle 11g Enterprise Edition, o especialista mostrou como executar comandos que permitem que um usuário, com nível básico de acesso, consiga modificar os seus próprios privilégios, com a finalidade de dominar por completo o banco de dados.


    Saiba Mais:

    [1] NETWORKWORLD: http://www.networkworld.com/news/201...ity_2010-02-04
    [2] Heise On-Line: http://www.h-online.com/security/new...ll-923143.html
    [3] Sobre David Litchfield: http://www.davidlitchfield.com/
    [4] Blackhat: http://www.blackhat.com/html/bh-dc-1...c-10-home.html

    Sobre o Autor: Camilla Lemke


Visite: BR-Linux ·  VivaOLinux ·  Dicas-L