Nhà nghiên cứu bảo mật David Litchfield của NGS Consulting đã trình
diễn cách người dùng có thể phá vỡ bảo mật, nâng quyền của anh ta để
hoàn toàn điều khiển được CSDL Oracle 11g. Ông Litchfield cho biết “đã
cảm thấy bị xúc phạm” khi nghe CEO Larry Ellison của Oracle nói, CSDL
Oracle 11g “là không thể bị xuyên thủng”.
Phát
hiện của ông Litchfield cho thấy, do cách Java được thực thi
(implement) trong CSDL Oracle 11g Release 2 nên người dùng có thể nâng
quyền của anh ta lên mức bất kỳ. Ông Litchfield đã trình diễn cách thực
thi nhiều lệnh khiến người dùng được trao quyền hệ thống “để hoàn toàn
điều khiển được CSDL Oracle 11g Enterprise Edition”. Ông còn cho thấy
cách vượt qua tính năng Oracle Label Security (được dùng để quản lý
truy cập bắt buộc vào những thông tin ở nhiều mức bảo mật khác nhau).
Cho tới khi Oracle tung ra được miếng vá khắc phục những lỗ hổng
zero-day rên, ông Litchfield khuyên các nhà quản trị CSDL Oracle 11g
nên hủy bỏ việc thực thi công khai một số chức năng Java nào đó.
Ông Litchfield cho rằng, việc bảo mật trong CSDL Oracle 11g chỉ đạt
điểm "B+" và chỉ trích Oracle là để CSDL của mình quá phụ thuộc vào các
sản phẩm bảo mật của bên thứ ba.
Theo PCWorld (Network World)
3Cdotcom “Nhà cung cấp Hosting cho Reseller tốt nhất tại Việt Nam" www.3cdotcom.vn