image

Onderzoeker vindt 10 Oracle bugs in 10 minuten

vrijdag 2 maart 2007, 10:04 door Redactie, 4 reacties

Beveiligingsonderzoeker Cesar Cerrudor, die in december nog een week van de Oracle bugs wilde organiseren en mogelijk onder de druk van Oracle deze annuleerde, heeft tijdens de Black Hat DC conferentie gedemonstreerd hoe eenvoudig het is om gaten in de databasesoftware te vinden. Tijdens een 10-minuten audit wist hij 10 lekken in Oracle versie 10g R2 te vinden waardoor een aanvaller objecten in de applicatie kan manipuleren.

De bugs waren eenvoudig te vinden via gratis tools als Process Explorer, WinObj, Pipeacl, en Interactive Disassembler (IDA). "De nieuwe versie van Oracle is veiliger dan voorgaande versies, maar dat betekent niet dat het veilig is. Oracle heeft nog steeds veel werk te doen" aldus Cerrudor. Volgens de onderzoeker zou niet alleen Oracle, maar ook andere database software voor dit soort lekken kwetsbaar zijn. Lekken waardoor een denial of service of het uitvoeren van willekeurige code mogelijk is.

Reacties (4)
02-03-2007, 10:34 door Anoniem
En nu gaat Oracle zeker juridiche stappen tegen Cesar zetten, omdat hij
toch die lekken gedemonstreerd heeft?

Ze mogen blij wezen dat ze op hun lekke software gewezen worden...
ownee want nu moeten ze weer aan het werk om die lekken de verhelpen
02-03-2007, 12:22 door Anoniem
Had dan even een wat langere audit gedaan....
02-03-2007, 13:19 door Anoniem
Wat ik echt niet begrijp is dat met gratis tools dergelijke bugs zomaar voor
het rapen liggen. Heeft Oracle dan niets van dergelijke software?
En je hoort steeds vaker ivm bepaalde applicaties dat er eenvoudige tools
bestaan die bugs bloot leggen.
Het is onbegrijpelijk en onverantwoord dat dergelijke firma's software
releasen waarna derden in een handomdraai hun systeem kunnen
blootleggen.
Eigenlijk begrijp ik niet dat er claims tegen Oracle worden ingediend.

Je koopt toch geen auto om daarna met een gratis onderhoudspakket te
kunnen constateren dat bij 100 km/uur je wielen eraf vallen.
02-03-2007, 18:43 door Bitwiper
[url=http://archives.cnn.com/2002/TECH/industry/01/21/oracle.unbreakable.idg/]Begin jan. 2002 zei Larry Ellison volgens CNN[/url]
(IDG) -- Oracle Corp. Chairman and Chief Executive Officer Larry Ellison said Thursday that Oracle software remains unbreakable and mocked a memo sent this week by arch rival Bill Gates stressing to Microsoft Corp.'s employees the importance of security in the company's products.

"Microsoft isn't good at security. We're good at that and I don't think sending a memo is going to help," said Ellison
Yeah right.

David Litchfield van [url=http://www.ngssoftware.com/]NGSS[/url] voert al jaren een gevecht tegen deze leugen ([url=http://news.com.com/Flaw+hunters+pick+holes+in+Oracle+patches/2100-1002_3-5916171.html?tag=html.alert]voorbeeld[/url] of Google naar: Litchfield Oracle).

Ik geloof niet dat ik voor Larry Ellison zou willen werken. In aug. 2006 zou Oracle's chief security officer Mary Ann Davidson hebben [url=http://www.merit.edu/mail.archives/netsec/2006-08/msg00024.html]gezegd[/url]:
"calling your code 'unbreakable' is like having a big bullseye on your products and your firewall".
Eind 2006 presenteerde Larry [url=http://tweakers.net/nieuws/44950/Oracle-presenteert-Unbreakable-Red-Hat-variant.html]Unbreakable Linux[/url].
Anoniem op vrijdag 02 maart 2007 13:19
Je koopt toch geen auto om daarna met een gratis onderhoudspakket te kunnen constateren dat bij 100 km/uur je wielen eraf vallen.
Maar die vergelijking gaat ook weer niet op.

Een m.i. betere vergelijking is hoe resistent je auto is tegen inbraak en beschadigen (per ongeluk met winkelwagentjes maar ook opzettelijk bekrassen met een sleutel of zakmes). Waarbij inbraak wellicht de beste vergelijking is: in beide situaties kunnen belangrijke gegevens van jou ontvreemd worden als je die daar achter laat. Punt is dat je het zelf in de hand hebt of je je notebook in je auto laat liggen.

Belangrijk is dat noch de koper noch de maker van (database) software netto gebaat zijn bij allerlei beschemende maatregelen die het product gegarandeerd duurder maken, tenzij er een concurrent opstaat die voor hetzelfde geld een beter product levert.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.