Дэвид Литчфилд (), исследователь вопросов безопасности из , продемонстрировал возможность несанкционированного получения полных прав удаленного доступа к СУБД , последней версии продукта.
Дэвид Литчфилд.
Представление уязвимости состоялось на прошедшей в Арлингтоне (штат Вашингтон, США) конференции , одном из важнейших мероприятий по обмену информацией, касающейся угроз компьютерной безопасности.
Несмотря на пропагандируемую главой Ларри Эллисоном (Larry Ellison) «полную невзламываемость» СУБД его компании, после длительных исследований удалось опровергнуть это утверждение на примере корпоративной версии. Так как в Oracle Database внедрена виртуальная машина Java, есть возможность путем выполнения некоторых ее функций повысить привилегии пользователя до административного уровня, получив таким образом полный контроль над базой данных. Показана возможность обхода системы безопасности , управляющей принудительным доступом к информации на различных уровнях безопасности.
Пока Oracle не исправила найденную уязвимость , г-н Литчфилд рекомендует администраторам уделить повышенное внимание общедоступным учетным записям пользователей в СУБД, а также запретить выполнение некоторых Java-функций.
