Um conhecido pesquisador demonstrou como comprometer a segurança
do banco de dados Oracle 11g através de vulnerabilidades que garantem o
controle completo dele para qualquer usuário.
David Litchfield, pesquisador da NGS Consulting, demonstrou como um usuário
pode subverter a segurança para elevar seus privilégios e assim tomar o
controle completo do Oracle 11g. Além disso ele demonstrou como burlar o Oracle
Label Security usado para definir os controles de acesso sobre as informações
dependendo do nível de segurança.
A descoberta mais recente de Litchfield mostra que a forma como o Java foi
implementado no Oracle 11g Release 2 torna possível para um usuário com menos
privilégios ganhar novas permissões.
Em uma demonstração usando o Oracle 11g Enterprise Edition, Litchfield
mostrou como executar comandos que permitem que o usuário obtenha mais
privilégios para ganhar o controle completo do banco de dados.
Até que a Oracle corrija as falhas demonstradas por Litchfield, os
administradores do Oracle 11g foram aconselhados a revogar a permissão pública
para execução em certas funções baseadas no Java.
Litchfield espera que a Oracle lance as correções em breve.
Falhas garantem o controle completo dele para qualquer usuário
