A central de whitepapers de tecnologia da COMPUTERWORLD
Segurança
Falha em Oracle 11g libera privilégios a banco de dados
Brecha ainda sem correção permite que usuário modifique privilégios e tenha total acesso ao banco de dados, alerta especialista na conferência Black Hat.
Network World/EUA
O banco de dados Oracle 11g possui brechas de segurança que podem ser exploradas para permitir o acesso pleno de um usuário comum ao sistema, alertou o pesquisador de segurança David Litchfield, da NGS Consulting. O especialista afirma ter sido o responsável por quebrar o sistema do console de jogos XBox, da Microsoft, entre outros produtos.
Durante a conferência de segurança Black Hat, nos Estados Unidos, Litchfield também demonstrou como driblar o Selo de Segurança Oracle (Oracle Label Security) usado para restringir os controles de acesso a informações dependendo do nível de segurança de quem é autorizado a acessar o banco de dados.
O veterano de segurança disse que sentiu-se desafiado ao ouvir o presidente e Chief Executive Officer (CEO) da Oracle, Larry Ellison, dizer que seu banco de dados era "inquebrável".
O mais recente relatório de Litchfield mostra que devido à forma como o componente Java foi implementado no Release 2 do Oracle 11g, há uma concessão padronizada muito aberta. Em uma demonstração do Oracle 11g Enterprise Edition, o especialista mostrou como executar comandos que permitem a um usuário com nível básico de acesso conseguir modificar seus próprios privilégios para ganhar "total controle do banco de dados".
Até que a Oracle distribua uma correção para as falhas - e Litchfield espera que o movimento seja breve - a recomendação é que os administradores Oracle 11g revoguem o acesso à execução pública de certas funções baseadas em Java.
Cloud computing é difícil?
O ITBOARD materializa a nova plataforma de conversas do Século XXI. Concentra o diálogo sobre tecnologia e inovação movido a tweets de quem está imerso nesses assuntos. ENTRE NA CONVERSA
