David Litchfield leder det britiske IT-selskapet Next Generation Security Software (NGSS). Han beskriver seg selv som evangelist innen databasesikkerhet, og har i flere år terget Oracle med avsløringer av svakheter i selskapets produkter og rutiner. Litchfield driver nettstedet databasesecurity.com og har nylig publisert boka The Oracle Hackers Handbook. Undertittelen er: Defending Database Servers.
Denne uka arrangeres hackersamlingen Black Hat, der Litchfield har holdt et foredrag om et nytt hull i Oracles database som han mener er pinlig enkel å angripe.
Hovedpoenget til Litchfield er at man kan oppnå full kontroll over en databaseserver med minimale brukerrettigheter. Metoden, som Litchfield kaller «cursor injection», utnytter kjente hull i Oracle på en ny måte.
_logo.svg.png){kind=logo}
Metoden angriper en type sårbarheter kjent som «PL SQL injection», eller SQL-injisering. Sårbarhetene tettes løpende av Oracle, etter hvert som de oppdages.
Det Oracle gjør feil, ifølge Litchfield, er at selskapet betrakter slike sårbarheter som nærmest ufarlige, noe de begrunner med at det kreves rettighetsnivået «create procedure» for å utnytte dem. Det fører til at brukermiljøene nedprioriterer å patche systemene for disse hullene.
Metoden til Litchfield går ut på å injisere prekompilerte markører i sårbare PL SQL-objekter. Han mener å ha påvist hvordan det innebærer at enhver som får kontakt med en database, kan potensielt overta kontrollen med databaseserveren. Den eneste forutsetningen er at det fortsatt finnes sårbare PL SQL-objekter i systemet.
Litchfield mener Oracle må advare at alle feil som dreier seg om SQL-injisering er kritiske, og at de bør patches så raskt som overhode mulig. Å fortsette å gi kundene inntrykk av at slike feil kan nedprioriteres fordi det krever avanserte privilegier å utnytte dem, er å føre brukerne bak lyset.
Litchfield mener han allerede har sett tilfeller der kriminelle hackere har benyttet seg av metoder tilsvarende den han beskriver.
Foredraget som Litchfield holdt på Black Hat er publisering i pdf-format på denne websiden: Cursor Injection: A New Method for Exploiting PL/SQL Injection, and Potential Defences.
Les også:
- [13.01.2009] Fjerner hull i et hundretalls produkter
- [11.04.2007] En mengde nye sikkerhetsfikser fra Oracle
- [16.01.2007] 52 nye sikkerhetsfikser fra Oracle
- [18.10.2006] Oracle tettet 101 sikkerhetshull
- [20.07.2006] Kritiske sårbarheter tettet av Oracle
- [19.04.2006] Oracle tetter en mengde sikkerhetshull
