Alessandro Guimarães – Oracle Blog

February 12, 2010

Oracle Unbreakable ? | Falha de Segurança no 11g

Filed under: banco de dados — Tags: , , , , , , — agleite @ 12:34 pm

David Litchfield, achou vulnerabilidades de segurança no Oracle 11g, embora os testes que eles fez tenham sido na versão 11gR2, a falha também acontece no Oracle 11gR1.
O problema acontece devido a privilégios super generosos para as procedures java, permitindo que um usuario com apenas privilegio de create sesssion, possa se tornar um DBA, tendo assim total controle do banco.
Alem disso, este mesmo usuario pode, com um simples select executar comandos do sistema operacional, como por exemplo gerar um arquivo.txt.
Em casa fiz um teste e consegui t criar um usuario no sistema operacional e torna-lo membro do grupo administrator do windows. Terrivel não. ?
A Oracle não tem patch…nem se pronuciou quanto a falha. No entanto você pode fazer sua parte. Basta fazer o revoke do PUBLIC das seguintes packages:

revoke execute on DBMS_JVM_EXP_PERMS from public;
revoke execute on DBMS_JAVA from public;
revoke execute on DBMS_JAVA_TEST from  public;


Leave a Comment »

No comments yet.

RSS feed for comments on this post. TrackBack URI

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

Blog at WordPress.com.

%d bloggers like this: