Дэвид Литчфилд, известный исследователь из NGS Consulting, продемонстрировал
на конференции Black Hat, как с помощью эксплуатации непропатченных уязвимостей
обойти защиту базы данных Oracle 11g и получить над ней полный контроль.
Показанный им метод позволяет пользователю поднять свои привилегии в системе
и получить контроль над базой, а также делает возможным обход механизма Oracle
Label Security, ограничивающего доступ к информации в зависимости от уровня
безопасности.
Из-за особенностей внедрения Java в Oracle 11g Release 2 база имеет чрезмерно
мягкий набор разрешений для пользователя по умолчанию. Это позволяет
пользователю с низким уровнем привилегий выдавать самому себе произвольные
разрешения. В ходе демонстрации на примере Oracle 11g Enterprise Edition
Литчфилд показал, как выполнить команды, необходимые для получения такого уровня
привилегий, который дает полный контроль над базой данных. Также эксперт
продемонстрировал и возможность обхода Oracle Label Security.
До тех пор, пока Oracle не закроет найденные бреши, исследователь советует
администраторам баз данных аннулировать общий доступ к ряду функций, основанных
на Java. По словам эксперта, выхода соответствующих патчей ждать осталось
недолго. Поэтому в скором времени Литчфилд намерен опубликовать свою презентацию
в письменном виде.
