Black Hat: prezentacja luki "zero-day" w Oracle 11g
David Litchfield, znany specjalista ds. bezpieczeństwa (i pracownik firmy NGS Consulting) zaprezentował na trwającej właśnie konferencji Black Hat nieznaną wcześniej lukę w zabezpieczeniach bazy danych Oracle 11g. Litchfield udowodnił też, że błąd ten umożliwia odpowiednio kompetentnemu "napastnikowi" przejęcie pełnej kontroli nad bazą.
David Litchfield przypomniał, że szef Oracle'a, Larry Ellison, wielokrotnie deklarował, iż do bazy danych jego firmy nie da włamać. Ekspert już kilka razy dowiódł, że te słowa nie do końca są prawdziwe - dlatego też od pewnego czasu jego relacje z Oracle są "dość skomplikowane" (jak sam to określił Litchfield).
Najnowsza luka związana jest z błędnym zaimplementowaniem do Oracle 11g Release 2 obsługi Javy - okazuje się, że w pewnym okolicznościach użytkownik o niskich przywilejach może uzyskać dostęp do usług i zasobów, które powinny być dostępne wyłącznie dla administratora (przyczyną są zbyt słabe domyślne zabezpieczenia pewnych zasobów). Podczas prezentacji Litchfield krok po kroku pokazał, jak stosując odpowiednie polecenia i sztuczki zwykły użytkownik może przyznać sobie prawa "admina" i przejąć kontrolę nad bazą.
Dopóki firma Oracle - która została już powiadomiona o problemie - nie udostępni odpowiedniego uaktualnienia, specjalista zaleca administratorom baz danych wyłączenie publicznego dostępu do niektórych narzędzi opartych o Javę. Litchfield dodał też, że poprawki powinny pojawić się już wkrótce - wtedy też opublikowane zostanie szczegółowe opracowanie na temat problemu.
Zdaniem eksperta, bezpieczeństwo nowych produktów Oracle można śmiało ocenić na 4+, aczkolwiek Litchfield zastrzegł, że błędy, o których była mowa na Black Hat, firma powinna wykryć sama znacznie wcześniej, podczas rutynowych testów. Co więcej - gdyby programiści Oracle stosowali odpowiednie praktyki dotyczące tworzenia bezpiecznego kodu, to błędy takie w ogóle nie powinny się pojawić w gotowym produkcie. "Wygląda na to, że Oracle pokłada zbyt duże zaufanie w aplikacjach do wykrywania błędów, które są wykorzystywane dopiero po ukończeniu prac nad produktami" - tłumaczył prelegent.
Pod koniec swojego wystąpienia David Litchfield poinformował uczestników BlackHat, że właśnie zakończył wieloletnią współpracę z NGS Consulting. Zapowiedział też, że teraz zamierza zająć się informatyką śledczą - ale szczegółowych planów na razie nie zdradził.
Komentarze (8)
"co innego mieć ciągle dodatkowe problemy z javą wynikajace z jej zrakowacenia a co innego mieć błędy wynikające tylko z tego, że każdy system tworzą ludzie i starać się używać tylko aktualnych rozwiązań i technologii bez zabobonów z dawnych lat." W artykule jest napisane jak byk: "przyczyną są zbyt słabe domyślne zabezpieczenia pewnych zasobów" Czyli jak błąd jest choćby ZWIĄZANY z Javą, to winna jest ta "zrakowaciała" (ciekawe słowo) Java, kulawa implementacja prawdziwego języka programowania jakim jest ... A jak błąd jest spowodowany kiepska architekturą języka programowania ... to oczywiście wina leży po stronie kretyńskich programistów, którzy nie potrafią dobrze wykorzystać wspaniałych i jedynych w swoim rodzaju możliwości Jedynego Prawdziwego I Wszystkomającego języka ... którego powinni używać wszyscy bo wtedy świat byłby lepszy? Mylę się gdzieś?
@Darek Pan Litchfield upublicznia wiedzę, która umożliwia popełnianie przestępstw - po to, by posiedli ją nie tylko przestępcy (bo oni mają wiedzę i tak), ale także firmy odpowiedzialne oraz klienci zagrożeni atakiem.
Tadziu ograniczanie się do jednej, mało wydajnej i fatalnie zaprojektowanej platformy (Microsoft Windows w środowisku Intel x86) jest jeszcze gorszym zrakowaceniem od wieloplatformowej i uznanej za standard Javy.
OK. który z tych frameworków pozwoliłby Ci stworzyć bazę działającą na x86, SPARC, PPC, pod Windowsem, Unixami, Linuxem itp?
siwy: co innego mieć ciągle dodatkowe problemy z javą wynikajace z jej zrakowacenia a co innego mieć błędy wynikające tylko z tego, że każdy system tworzą ludzie i starać się używać tylko aktualnych rozwiązań i technologii bez zabobonów z dawnych lat. Nie można wyznawać spójnego poglądu, że skoro nie jest momożliwy ideał, to jest akceptowalna dowolnośc w stosowaniu technologii, nawet takich co dodają (by design) sterty problemów - bo akurat to umieją pracownicy. Co do MS, to fajnie jest umieć coś wiecej. Ja wolę mieć jeden framework zamist kilku (czy kilkunastu mniejszych) i marnowac czas na ich wybieranie i dobieranie bo żaden nie jest elastyczny lub optymalny w moich problemach - tak jak to ma niestety java.
85.128.36.194, nie pozostaje nic jak ujawnić słodką tajemnicę jakich narzędzi użyć do stworzenia bezpiecznej i wydajnej bazy danych, a nastepnie samemu się zastanowić jak to jest że firma produkująca te cudowne narzędzia jak też i bazy nie potrafi takich aplikacji (czyli szybkich i bezpiecznych) stworzyć. To tak drogi tadku (chyba) w kwestii zafixowania na produktach MS.
Jak zywkle zrakowaciała Java i mentalność ludzi zafiksowanych na niej.
Jak rozumiem, Pan Litchfield upublicznia wiedzę, która umożliwia popełnianie przestępstw, a chwilę później pracuje jako ekspert od ich wyjaśniania.
- Kingston: Nowa linia dysków SSD
- Microsoft zapowiada nowy system plików - ReFS
- Intel: SSD 520 - nowa linia szybkich dysków
- Praktyczne porady dla administratorów na 2012 rok
- Co powinien wiedzieć każdy specjalista IT?
- Narzędzia dla administratorów sieci
- Windows Intune 3.0 - szansa na perfekcyjne narzędzie?
- Kontrowersyjne decyzje Oracle odnośnie Javy
- Testy penetracyjne pomogą w obronie przed cyberatakami
- 2012 - rok przełomowy dla internetu?
Polecane
Przełomowy rok... znowu
Lektura firmowych informacji prasowych i prognoz firm analitycznych nie pozostawia wątpliwości - każdego roku...
Spokój i luz administratora
Wymagania wobec pracowników działów IT rosną proporcjonalnie do stopnia rozwoju teleinformatyki. Oczekuje się, że...