Tag: Security
-
Separation of Duties vs. Concept of Least Privilege
-
Oracle Security Masterclass mit Pete Finnigan
-
Tutorial on Defending Against SQL Injection
Da ist es ja, das SQL Injection Tutorial von Oracle. Bei jedem Security CAC immer angekündigt, taucht es plötzlich ohne weiteres Announcement auf der Oracle Server Technologies Homepage auf.
Es handelt sich um die interne Schulung für die Oracle Development Teams, ist aber natürlich für jeden PL/SQL Entwickler oder Consultant sehr empfehlenswert.… Continued
-
Die Psychologie des Patchens
Die Digital Soapbox hat einen Artikel über The Psychology of Patching…
I’m not saying patching isn’t critical and important, don’t get me wrong – but it shouldn’t be as “all-important” as some people from our security realm would dictate.… Continued
-
Oracle Critical Patch Update January 2008
Das Oracle Critical Patch Update – January 2008 ist raus, und ich denke, wir Datenbänker können aufschnaufen. Betroffen sind praktisch nur Add-On Komponenten wie XML-DB, Advanced Queuing, Spatial und UltraSearch. Einzig DB05 betrifft Upgrade/Downgrade, und ist über Oracle Net exploitable.… Continued
-
Eight Ways to Hack Oracle
Und ebenfalls interessant: Eight Ways to Hack Oracle. Davon sind allerdings nur vier beschrieben, und keine Bemerkung, ob noch was folgt. Tja…
-
Getting Started With A Secure Configuration Effort
In diesem Zusammenhang ist vielleicht noch dieser Artikel von Chad Hughes interessant, den ich mir schon lange mal zur Veröffentlichung vorgenommen hatte: Getting Started With A Secure Configuration Effort.
In order to maintain a proper security posture, an organization must commit to developing and maintaining secure configurations on all layers of its environment.… Continued
-
Critical Patch Update January 2008 Pre-Release Announcement
Das Oracle Critical Patch Update Pre-Release Announcement – January 2008 ist da, und alle Experten schreiben dasselbe:
- Zum ersten Mal mit 11g Patches
- Nur 8 DB Patches, kein Remote Exploit
- Aber einer davon kritisch (CVSS 2 Rating von 6.5)
Die Experten sind: Sven Vetter, Alex Kornbrust, und Stephen Kost.… Continued
-
Data0: Next generation malware for stealing databases
Cesar Cerrudo ein Gedankenexperiment über Data0: Next generation malware for stealing databases als Paper (PDF) veröffentlicht.
This paper it’s about Data0, a fictitious (or not) simple PoC of new malware that after it’s deployed on a computer in an internal network it will automatically hack database servers and steal their data.… Continued