В СУБД Oracle 11g обнаружена критически опасная уязвимость

Источник: cybersecurity

В рамках проходящей в США технической конференции Black Hat ИТ-эксперты компании NGS Consulting сообщили о наличии критически опасной уязвимости в популярной Oracle Database 11g . Обнаруженная уязвимость предоставляет атакующему полный неограниченный удаленный доступ к базе.

Девид Литчфилд, технический специалист NGS, в рамках своего доклада продемонстрировал возможность поднятия привилегий в Oracle Database 11g  для получения полного контроля над данными. По словам эксперта, на поиск уязвимостей в программном обеспечении его подвигли слова главы Oracle  Ларри Эллисона о том, что их база данных "невзламываемая".

Литчфилд говорит, что обнаруженный его компанией баг эксплуатирует виртуальную машину Java, работающую вместе с СУБД. Для того, чтобы использовать эксплоит, у пользователя должна быть хоть какая-то учетная запись на сервере баз данных и через существующие для него легитимные привилегии он может выдать сам себе повышенные права на доступ к данным.

В своей демонстрации Литчфилд показал возможность обхода системы безопасности Oracle Label Security, применяемой для управления принудительным доступом к информации. По словам эксперта, до тех пор, пока Oracle  не закрыла данную уязвимость клиентам компании следует уделить максимальное внимание публичным аккаунтам, а также некоторым Java-функциям.


Страница сайта http://test.interface.ru
Оригинал находится по адресу http://test.interface.ru/home.asp?artId=23368