Nhà nghiên cứu bảo mật David Litchfield của NGS Consulting đã trình diễn cách người dùng có thể phá vỡ bảo mật, nâng quyền của anh ta để hoàn toàn điều khiển được CSDL Oracle 11g. Ông Litchfield cho biết “đã cảm thấy bị xúc phạm” khi nghe CEO Larry Ellison của Oracle nói, CSDL Oracle 11g “là không thể bị xuyên thủng”.

Phát hiện của ông Litchfield cho thấy, do cách Java được thực thi (implement) trong CSDL Oracle 11g Release 2 nên người dùng có thể nâng quyền của anh ta lên mức bất kỳ. Ông Litchfield đã trình diễn cách thực thi nhiều lệnh khiến người dùng được trao quyền hệ thống “để hoàn toàn điều khiển được CSDL Oracle 11g Enterprise Edition”. Ông còn cho thấy cách vượt qua tính năng Oracle Label Security (được dùng để quản lý truy cập bắt buộc vào những thông tin ở nhiều mức bảo mật khác nhau).

Cho tới khi Oracle tung ra được miếng vá khắc phục những lỗ hổng zero-day rên, ông Litchfield khuyên các nhà quản trị CSDL Oracle 11g nên hủy bỏ việc thực thi công khai một số chức năng Java nào đó.

Ông Litchfield cho rằng, việc bảo mật trong CSDL Oracle 11g chỉ đạt điểm "B+" và chỉ trích Oracle là để CSDL của mình quá phụ thuộc vào các sản phẩm bảo mật của bên thứ ba.

Theo PCWorldVN