IP:18.220.195.16

Tin tức
Tin Công ty
Máy tính - Công nghệ
Y học - Sức khỏe
Giáo dục - Cuộc sống
Nhân vật & Sự kiện




CSDL Oracle 11g “dính” lỗ hổng zero-day
06/02/2010 09:55 AM

Hôm 2/2/2010, một nhà nghiên cứu bảo mật nổi tiếng đã cho thấy cách phá vỡ bảo mật trong CSDL Oracle 11g nhờ khai thác các lỗ hổng zero-day.

Nhà nghiên cứu bảo mật David Litchfield của NGS Consulting đã trình diễn cách người dùng có thể phá vỡ bảo mật, nâng quyền của anh ta để hoàn toàn điều khiển được CSDL Oracle 11g. Ông Litchfield cho biết “đã cảm thấy bị xúc phạm” khi nghe CEO Larry Ellison của Oracle nói, CSDL Oracle 11g “là không thể bị xuyên thủng”.

 

Phát hiện của ông Litchfield cho thấy, do cách Java được thực thi (implement) trong CSDL Oracle 11g Release 2 nên người dùng có thể nâng quyền của anh ta lên mức bất kỳ. Ông Litchfield đã trình diễn cách thực thi nhiều lệnh khiến người dùng được trao quyền hệ thống “để hoàn toàn điều khiển được CSDL Oracle 11g Enterprise Edition”. Ông còn cho thấy cách vượt qua tính năng Oracle Label Security (được dùng để quản lý truy cập bắt buộc vào những thông tin ở nhiều mức bảo mật khác nhau).

Cho tới khi Oracle tung ra được miếng vá khắc phục những lỗ hổng zero-day rên, ông Litchfield khuyên các nhà quản trị CSDL Oracle 11g nên hủy bỏ việc thực thi công khai một số chức năng Java nào đó.

Ông Litchfield cho rằng, việc bảo mật trong CSDL Oracle 11g chỉ đạt điểm "B+" và chỉ trích Oracle là để CSDL của mình quá phụ thuộc vào các sản phẩm bảo mật của bên thứ ba.

Theo PCWorldVN




CÁC TIN KHÁC

• Microsoft sắp tung ra nhiều miếng vá Windows (06/02/2010)
• Google tiếp tục cuộc chiến với Apple (06/02/2010)
• HTML5 sẽ chấm dứt sự thịnh vượng của Flash? (06/02/2010)
• Trung Quốc – “công xưởng” hacker (06/02/2010)
• Giả mạo bản nâng cấp Firefox để phát tán quảng cáo (05/02/2010)
• Hoạt động tấn công mạng xã hội tăng báo động (05/02/2010)
• Microsoft điều tra sự cố pin liên quan tới Windows 7 (05/02/2010)
• Trung Quốc hối Google tôn trọng quyền sở hữu trí tuệ (05/02/2010)
• Gmail sẽ bỏ rơi IE6 vào cuối năm nay (05/02/2010)
• Yahoo bán HotJobs cho đối thủ với giá 225 triệu USD (04/02/2010)




BLUE IDEA Trading and Computer Technology Company Limited
Copyright © 2009 BLUE IDEA Co., Ltd