Tag: Security
-
Die Psychologie des Patchens
Die Digital Soapbox hat einen Artikel über The Psychology of Patching… I’m not saying patching isn’t critical and important, don’t get me wrong – but it shouldn’t be as “all-important” as some people from our security realm would dictate. If you don’t patch to the latest Oracle patch-bundle, the sky won’t fall if your application…
-
Oracle Critical Patch Update January 2008
Das Oracle Critical Patch Update – January 2008 ist raus, und ich denke, wir Datenbänker können aufschnaufen. Betroffen sind praktisch nur Add-On Komponenten wie XML-DB, Advanced Queuing, Spatial und UltraSearch. Einzig DB05 betrifft Upgrade/Downgrade, und ist über Oracle Net exploitable. Es handelt sich wohl um das Problem, dass man während dem Dictionary-Upgrade für einzelne Accounts…
-
Eight Ways to Hack Oracle
Und ebenfalls interessant: Eight Ways to Hack Oracle. Davon sind allerdings nur vier beschrieben, und keine Bemerkung, ob noch was folgt. Tja…
-
Getting Started With A Secure Configuration Effort
In diesem Zusammenhang ist vielleicht noch dieser Artikel von Chad Hughes interessant, den ich mir schon lange mal zur Veröffentlichung vorgenommen hatte: Getting Started With A Secure Configuration Effort. In order to maintain a proper security posture, an organization must commit to developing and maintaining secure configurations on all layers of its environment. Such commitment…
-
Critical Patch Update January 2008 Pre-Release Announcement
Das Oracle Critical Patch Update Pre-Release Announcement – January 2008 ist da, und alle Experten schreiben dasselbe: Zum ersten Mal mit 11g Patches Nur 8 DB Patches, kein Remote Exploit Aber einer davon kritisch (CVSS 2 Rating von 6.5) Die Experten sind: Sven Vetter, Alex Kornbrust, und Stephen Kost. Na dann warten wir mal auf…
-
Data0: Next generation malware for stealing databases
Cesar Cerrudo ein Gedankenexperiment über Data0: Next generation malware for stealing databases als Paper (PDF) veröffentlicht. This paper it’s about Data0, a fictitious (or not) simple PoC of new malware that after it’s deployed on a computer in an internal network it will automatically hack database servers and steal their data. Several techniques used by…
-
Oracle Security Patching Survey
David Litchfield in einer Mail an dbsec: I’m seeking answers from Oracle DBAs and professionals about their feelings on security patches was hoping as many of you as possible would take the time to answer the 6 questions here : http://www.databasesecurity.com/survey.htm – I’d really appreciate it! Once I’ve got a good set of answers I’ll…
-
All your SYSDBA are belong to us
Tanel Poder hat eine weitere Methode rausgefunden, wie man erhöhte Privilegien in Oracle dazu ausnutzen kann, maximale Privilegien zu erhalten, d.h. SYSDBA zu werden. In seinem detaillieren Artikel Oracle Security: All your DBAs are SYSDBAs and can have full OS access schreibt er: Few of those [assumptions about regular, non-SYSDBA DBA] are: can not alter…
-
Critical Patch Update October 2007 Pre-Release Announcement
Oracle hat das Critical Patch Update October 2007 Pre-Release Announcement veröffentlicht, und Stephen Kost von Integrigy hat es analysiert: There are 5 remotely exploitable without authentication vulnerabilities, which are not typical of previous database vulnerabilities. Most previous database vulnerabilities require database authentication to exploit. Depending on the exact nature of the 5 remotely exploitable without…
-
SQL Injection
Das ist SQL Injection: Via Swiss Metablog und Tom Kyte.