Tanel Poder hat eine weitere Methode rausgefunden, wie man erhöhte Privilegien in Oracle dazu ausnutzen kann, maximale Privilegien zu erhalten, d.h. SYSDBA zu werden. In seinem detaillieren Artikel Oracle Security: All your DBAs are SYSDBAs and can have full OS access schreibt er:
Few of those [assumptions about regular, non-SYSDBA DBA] are:
- can not alter SYS objects
- can not shut down & restart database ( for changing audit_trail or remote_login_passwordfile settings )
- can not grant SYSDBA & SYSOPER privileges
- can not grant rights on some SYS objects ( which haven’t been granted to DBA role with grant option )
- can not use oradebug
- can not run OS commands using Oracle executable rights
Those assumptions do not hold true for now for users with DBA or IMP_FULL_DATABASE role, until the issue has been fixed – or the BECOME USER privilege is revoked from the roles (which may make full imports fail).
Oops, da haben wir also wieder geschlampt, liebe Firma Oracle! Aber nichts, was man mit einem guten Security-Patch nicht wieder in Ordnung bringen könnte. Auf Kosten von Funktionalität und Ease-of-Use halt.