Tag: Security
-
How to Secure Oracle in 20 Minutes
Pete Finnigan hat eine nette Präsentation geschrieben zum Thema How to Secure Oracle in 20 Minutes: The paper […] makes the point that you cannot secure Oracle in 20 minutes but you can learn that you have a problem in 20 minutes and start to take action. The thing I learned from this is its…
By
·
-
Bruce Schneier Facts
Auch ich habe Bruce Schneiers Buch Beyond Fear gelesen, und lese sein Blog Schneier on Security mit Vergnügen. Da freut es mich doch, bei Robert Love einen Verweis auf die Bruce Schneier Facts zu finden. Zum Kugeln! The set of Bruce Schneier’s weaknesses is a mathematical constant. It is represented by the symbol ∅. Via…
By
·
-
Oracle’s Approach to Configuration Hardening
Chad Hughes, Principal Program Manager in Oracles Global Product Security Group, erklärt Oracle’s Approach to Configuration Hardening, und geht auch darauf ein, weshalb Oracles Empfehlungen und Default Einstellungen zum Teil deutlich von denen des Center for Internet Security, dem sogenannten Oracle Database Security Benchmark, abweichen. In summary, Oracle’s security recommendations are different than the core…
By
·
-
Oracle und CVSS
Oracle hat sich entschieden, für seine Security Alert Severity Ratings auf CVSS zu wechseln. Das ist nicht unkritisch, da CVSS Servern im Fokus entworfen ist, dies im Gegensatz zum Service-Ansatz, der für Oracles Security Advisories besser geeignet wäre. Mit dem serverbasierten Ansatz kann der Maximalscore nur erreicht werden, wenn der Server als Ganzes kompromittiert ist…
By
·
-
Best of Oracle Security 2006
Alex Kornbrust hat ein neues Whitepaper zum Thema Best of Oracle Security 2006 (PDF). Darin beschreibt er unter anderem auch, wie einfach es war, den im Januar CPU geflickten DB18 zu exploiten: Nach einem erfolgreichen Login gegen eine Oracle Datenbank, setzt Oracle den NLS-Parameter mittels eines “ALTER SESSION SET NLS…”-Befehls. Dieser Befehl wird im Kontext…
By
·
-
Überraschung: Kunden unzufrieden mit Oracles Security-Politik
Heise hat es von der DOAG erfahren: Kunden unzufrieden mit Oracles Security-Politik. Was mich natürlich nicht überrascht, da auch wir unzufrieden sind! Nicht damit, dass Oracle endlich die grundlegenden Probleme lösen will, oder dass alle drei Monate ein Patch erscheint, sondern damit, dass Oracle die Qualität der Patches nicht im Griff hat, und die Applikationen…
By
·
-
Vokabeltrainer ohne Admin
Es könnte ja sein, dass man den Langenscheidt Vokabeltrainer mal ohne Adminrechte ausführen will, nicht? Immerhin hat er letztes Jahr beim c’t-Test die Bestnote erhalten. Aber Nein, Langenscheidt rechnet nicht mit dieser Möglichkeit, auch 4 Jahre nach der Einführung von Windows XP ist das nicht möglich. Abhilfe schafft erst das Erlauben von Änderungen für die…
By
·
-
DB Rootkits
Zwar mit Datum des 1. April veröffentlicht, aber trotzdem plausibel: Datenbank Rootkits (weitere Artikel inkl. englische Übersetzung). Alexander Kornbrust ist z.Z. neben Pete Finnigan der profilierteste (Oracle) DB Security Hacker. Er schreibt hier, dass man Rootkits nicht nur im OS, sondern genausogut auch in der DB verstecken kann. Mit einem Rootkit versteckt ein Angreifer seine…
By
·
-
Oracle #68
Oracles Security Alert hat nicht nur bei uns zu grösseren Aufwänden geführt, am schlimmsten war aber die Drohung von NGSSoftware, am 31. November (nb: der November hat 30 Tage) genauere Informationen zu veröffentlichen, verbunden mit der Meinung vieler Leute bei uns, dass sich mit diesen Informationen Oracle Exploits programmieren lassen, welche ohne gültigen Oracle- oder…
By
·
-
Shell Code
Im Zusammenhang mit Oracles Security Alert #68 taucht häufig das Wort Shell Code auf. Ein DBA mag da an die typischen Shellscripts denken, die sind aber nicht gemeint. Shell Code sind kurze Stücke Maschinencode, die der Hacker in seinem Exploit an die DB sendet, und dann via Buffer Overflow von Oracle ausführen lässt, um die…
By
·