compiling.ru

Уязвимость «zero-day» наносит удар по Oracle 11g, предоставляя злоумышленникам полный контроль

Исследователи отметили существующие недостатки на конференции Black Hat.

По словам ведущих специалистов по компьютерной безопасности уязвимость «нулевого дня»  позволит хакерам использовать базы данных в Oracle 11g.

Дэвид Литчфилд, исследователь NGS Consulting, продемонстрировал, каким образом пользователь может обойти настройки безопасности, повысив свои права, чтобы получить полный контроль над Oracle 11g, а также показал, как обойти Oracle Label Security, использовав для установки обязательного доступа контроль над информацией, в зависимости от уровня безопасности. В то же время, Литчфилд объявил, что это был его последний день в NGS, потому что теперь он собирается обратить свое внимание на компьютерные криминальные экспертизы.

Ветеран промышленной безопасности сказал, что с тех пор как он услышал заявление шефа Oracle Ларри Эллисона, рекламируещего свою базу данных как «нерушимую, я изменил отношение к компании из-за этого бахвальство». Литчфилд отметил, что он и Oracle имели «прочные отношения» в течение длительного времени.

Последнее исследование Личфилда показывает, что из-за метода каким был реализован Java в в Oracle 11g Release 2, существует очень много решений, позволяющих непривелегированному пользователю получить любой уровень доступа. В демо Oracle 11g Enterprise Edition, он показал, как выполнять команды, которые позволят пользователю с помощью системы предоставления привилегий получить «полный контроль над базой данных». Литчфилд также показал, как можно обойти Oracle Label Security используя для управления доступ к информации на различных уровнях безопасности.

Исследование показало, что существует слишком много людей, многократно использующих свои логины

news.techworld.com/security/3211897/zero-day-hack-of-oracle-11g-allows-cracker-complete-control

Popularity: 1%

Похожие посты: