Mellékleteink: HUP | Gamekapocs
Keres
Július 19-én SYSADMINDAY: egy teljes security meetup, számos szórakoztató program, és Felméri Péter standupja várja az érdeklődőket!

Újfajta sebezhetőséget találtak az Oracle adatbázisban

Bodnár Ádám, 2008. április 28. 15:33
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

David Litchfiled, az ismert adatbázisbiztonsági szakértő részletes dokumentumban tárgyalja azt a sebezhetőséget, amelyet még februárban fedezett fel az Oracle adatbáziskezezelőjében. A sérülékenységet kihasználva támadók adminisztrátori jogosultságot szerezhetnek, adatokat módosíthatnak vagy törölhetnek, vagy akár saját szoftvereket is telepíthetnek az adatbázist futtató szerverre.

hirdetés
[HWSW] David Litchfiled, az ismert adatbázisbiztonsági szakértő részletes dokumentumban tárgyalja azt a sebezhetőséget, amelyet még februárban fedezett fel az Oracle adatbáziskezezelőjében. A sérülékenységet kihasználva támadók adminisztrátori jogosultságot szerezhetnek, adatokat módosíthatnak vagy törölhetnek, vagy akár saját szoftvereket is telepíthetnek az adatbázist futtató szerverre.

Az Oracle adatbázisok bizonyos típusú mezők esetében (pl. date, number) nem fogadnak el akármilyen felhasználói inputot, így a közhiedelem szerint itt nem hackelhetők. Litchfield azonban bebizonyította, hogy az Oracle lelkivilágának mély ismeretével és egy kis kódolási trükkel a támadók manipulálhatják a bevitt adatokat, és SQL-beszúrással átvehetik az irányítást. Azt Litchfield is elismeri, hogy az eljárás viszonylag bonyolult, de mindenképpen fontosnak tartja felhívni a figyelmet arra, hogy a ma már a biztonságosnak tekintett mezőtípusok sem biztonságosak.

A támadás kivitelezése a sysdate függvény segítségével történik, a támadó az alter session jogosultságát felhasználva elérheti, hogy az SQL-fordító a date típusú mező inputjaként SQL utasításokat is elfogadjon. A date_proc eljárás általában a v_date segítségével állítja be a dátumot, miután meghívta a sysdate függvényt. A session módosításáal és egy SQL parancs beszúrásával a támadó tetszőleges parancsot futtathat az adatbázison, és átveheti át az irányítást.

Litchfield szerint a legfontosabb, hogy az Oracle alkalmazásokat fejlesztő programozók, akik a PL/SQL nyelvet használják, felfigyeljenek a problémára, és az eddig biztonságosnak hitt mezőtípusokat is ugyanúgy kezeljék, mint a "nem biztonságosakat", és építsenek be ellenőrzést, az SQL-beszúrásos támadások elhárítására.

A IT-üzemeltetők világnapján egy teljes security meetup, számos szórakoztató program, és Felméri Péter standupja várja az érdeklődőket az Ankertbe.