Форум: "Прочее";
Текущий архив: 2006.09.03;
Скачать: [xml.tar.bz2];

Вниз

Дыра в оракле !!!   Найти похожие ветки 

← →
ANB ©   (2006-08-04 15:47) [0]

Узнал седня потрясную вещь - оказывается во всех версиях моего любимого оракла была огромная дыра в коннекте, которая позволяла довольно тривиально получить любому пользователю права DBA !!!
Исправили только в этом году.
Гребанные индийцы :(

---

← →
Курдль ©   (2006-08-04 15:51) [1]

Быстрее колись, как получить DBA!
А то я как раз сейчас в одном нехилом банке околачиваюсь...

---

← →
Desdechado ©   (2006-08-04 15:52) [2]

Ага. Причем они сначала это опубликовали у себя на сайте в общем доступе, несколько дней оно там побыло и скрылось в дебрях металинка. А потом, AFAIR, и оттуда убрали.
Но расторопные сетяне успели копий на свободных ресурсах понаделать (прямо с комментариями посетителей и ответов команды оракла - все целиком с оф. сайта срисовали). И с рассуждениями, о том, чтонадо из открытого доступа убрать...

---

← →
Jeer ©   (2006-08-04 15:53) [3]

Наверняка дырка имела глубокие философские корни в обоснование своего появления и столь долгого существования.

---

← →
ANB ©   (2006-08-04 17:52) [4]

На самом деле все тривиально. При коннекте OCI передает на сервер настройку NLSLANG. Умные люди передали бы это отдельным параметром, чтобы этим занимался сервер. Индусы же передают это командой ALTER SESSION, которая выполняется под сисом.
Таким образом, имея сниффер, можно перехватить пакет и послать ораклу похожий, но воткнуть туда любую другую команду (GRANT DBA TO . . .), которую оракл счастливо выполнит под сисом.
Индусы уроды, хотя я и не шовинист.

---

← →
Jeer ©   (2006-08-04 17:58) [5]

> Индусы уроды, хотя я и не шовинист.


Да нет, просто у них более широкий и открытый взгляд на сущности:))

---

← →
ANB ©   (2006-08-04 18:00) [6]

Кстати, на сколько я знаю в 10 эту дыру закрыли. А что с предыдущими версиями ?

---

← →
Jeer ©   (2006-08-04 18:04) [7]

Oracle страдает от проблем безопасности не менее Microsoft.

---

← →
Desdechado ©   (2006-08-04 18:12) [8]

ANB ©   (04.08.06 17:52) [4]
Я читал про другую дыру.

---

← →
Некто ©   (2006-08-04 21:35) [9]

Ужс, как дальше жить...

---

← →
ANB ©   (2006-08-07 14:45) [10]

> Я читал про другую дыру.

про какую ?

---

← →
Desdechado ©   (2006-08-07 15:56) [11]

> Oracle страдает от проблем безопасности не менее Microsoft.
Ага. У них весной и осенью выходят Security Update, а летом и зимой - функциональные патчи. График такой - 4 шт. в год.

ANB ©   (07.08.06 14:45) [10]
Деталей не помню. Что-то про то, как, имея права на какую-то вьюху, можно было поиметь права DBA.

---

Страницы: 1 вся ветка

Форум: "Прочее";
Текущий архив: 2006.09.03;
Скачать: [xml.tar.bz2];

Наверх

Память: 0.46 MB
Время: 0.04 c