Tag: Database
-
Oracle Critical Patch Update Pre-Release Announcement – January 2007
Oracle hat soeben sein Oracle Critical Patch Update Pre-Release Announcement – January 2007 veröffentlicht. Für die Datenbank selbst schreiben sie folgendes: This Critical Patch Update contains a total of 27 new security fixes for Oracle Database products, 10 of which may be remotely exploitable without authentication, i.e. they may be exploited over a network without…
By
·
-
How to Secure Oracle in 20 Minutes
Pete Finnigan hat eine nette Präsentation geschrieben zum Thema How to Secure Oracle in 20 Minutes: The paper […] makes the point that you cannot secure Oracle in 20 minutes but you can learn that you have a problem in 20 minutes and start to take action. The thing I learned from this is its…
By
·
-
Best of Oracle Security 2006
Alex Kornbrust hat ein neues Whitepaper zum Thema Best of Oracle Security 2006 (PDF). Darin beschreibt er unter anderem auch, wie einfach es war, den im Januar CPU geflickten DB18 zu exploiten: Nach einem erfolgreichen Login gegen eine Oracle Datenbank, setzt Oracle den NLS-Parameter mittels eines “ALTER SESSION SET NLS…”-Befehls. Dieser Befehl wird im Kontext…
By
·
-
DB Rootkits
Zwar mit Datum des 1. April veröffentlicht, aber trotzdem plausibel: Datenbank Rootkits (weitere Artikel inkl. englische Übersetzung). Alexander Kornbrust ist z.Z. neben Pete Finnigan der profilierteste (Oracle) DB Security Hacker. Er schreibt hier, dass man Rootkits nicht nur im OS, sondern genausogut auch in der DB verstecken kann. Mit einem Rootkit versteckt ein Angreifer seine…
By
·
-
Oracle #68
Oracles Security Alert hat nicht nur bei uns zu grösseren Aufwänden geführt, am schlimmsten war aber die Drohung von NGSSoftware, am 31. November (nb: der November hat 30 Tage) genauere Informationen zu veröffentlichen, verbunden mit der Meinung vieler Leute bei uns, dass sich mit diesen Informationen Oracle Exploits programmieren lassen, welche ohne gültigen Oracle- oder…
By
·
-
Shell Code
Im Zusammenhang mit Oracles Security Alert #68 taucht häufig das Wort Shell Code auf. Ein DBA mag da an die typischen Shellscripts denken, die sind aber nicht gemeint. Shell Code sind kurze Stücke Maschinencode, die der Hacker in seinem Exploit an die DB sendet, und dann via Buffer Overflow von Oracle ausführen lässt, um die…
By
·
-
Enter the Grid
Am Dienstag war Dani am Produktlaunch von Oracle 10g (Bericht), welcher unter dem Motto Enter The Grid stand. Leider war der Dienstag mein erster Arbeitstag nach den Prüfungen, weshalb ich erst dann von diesem Event erfuhr, und die Arbeit nicht mehr verschieben konnte. Sonst wäre ich natürlich auch gegangen. Als ich das erste Mal im…
By
·