Дэвид Литчфилд (David Litchfield), исследователь вопросов безопасности из NGS Consulting, продемонстрировал возможность несанкционированного получения полных прав удаленного доступа к СУБД Oracle Database 11g Release 2, последней версии продукта.
Дэвид Литчфилд.
Представление уязвимости состоялось на прошедшей в Арлингтоне (штат Вашингтон, США) конференции Black Hat, одном из важнейших мероприятий по обмену информацией, касающейся угроз компьютерной безопасности.
Несмотря на пропагандируемую главой Oracle Ларри Эллисоном (Larry Ellison) «полную невзламываемость» СУБД его компании, после длительных исследований удалось опровергнуть это утверждение на примере корпоративной версии. Так как в Oracle Database внедрена виртуальная машина Java, есть возможность путем выполнения некоторых ее функций повысить привилегии пользователя до административного уровня, получив таким образом полный контроль над базой данных. Показана возможность обхода системы безопасности Oracle Label Security, управляющей принудительным доступом к информации на различных уровнях безопасности.
Пока Oracle не исправила найденную уязвимость «нулевого дня», г-н Литчфилд рекомендует администраторам уделить повышенное внимание общедоступным учетным записям пользователей в СУБД, а также запретить выполнение некоторых Java-функций.