וואלה
וואלה
וואלה
וואלה

וואלה האתר המוביל בישראל - עדכונים מסביב לשעון

וואלה דואר
קרא דואר

כסף

מומחה אבטחה חושף דרך חדשה ומסוכנת לתקיפת מסדי נתונים של אורקל

IDG

28.2.2007 / 18:37

גם חברת האבטחה סימנטק הוציאה היום הזהרה המתייחסת לנקודת התורפה של אורקל



במסמך אותו הוא מתכוון להעלות לדיון בוועידת Black Hat DC 2007, צפוי דיוויד ליצ'פילד, מומחה ידוע בתחום חקר אבטחת מסדי נתונים, לשרטט דרך חדשה לבצע התקפות כנגד מסדי נתונים של אורקל, שמעלה באופן משמעותי את רמת הסיכון למערכות בהן לא מותקנים עדיין התיקונים הנדרשים.



ליצ'פילד, מנכ"ל החברה הבריטית (NGSSoftware (Next Generation Security Software, מצא דרך לנצל נקודת תורפה במערכות אורקל, מבלי להזדקק להרשאות מערכת (system privileges). הטקטיקה החדשה, המתוארת במסמך "Cursor Injection: A New Method for Exploiting PL/SQL Injection and Potential Defences" (ניתן להוריד עותק PDF מהאתר http://www.databasesecurity.com), מגדילה את רמת הסיכון של רבים מהבאגים הידועים של אורקל.



"פעמים רבות בעבר, בהתראות אותן פרסמה חברת אורקל, היא הרגיעה את לקוחותיה שהיכולת לייצר פרוצדורה או פונקציה היא תנאי הכרחי עבור תוקף על מנת שיוכל לנצל פגמים במערכת", מסביר ליצ'פילד במסמך. "אולם אין זה המצב בפועל. כל הפגמים המאפשרים שינוי בקוד ה-SQL ניתנים לניצול ללא שום הרשאות מערכת חוץ מ-CREATE SESSION, ולאור עובדה זו, כל הסברי ההרגעה בנוגע לרמת הסיכון אינם במקומם", הוא מוסיף.



לא זו בלבד שהטכניקה החדשה תקפה לגבי כל הגרסאות של אורקל, מה שחמור יותר הוא שהטכניקה אף סותרת את אחד הטיעונים המרכזיים של החברה, טיעון שלפיו סווגו הרבה מהאיומים הידועים על אורקל ברמת סיכון נמוכה יותר ממה שראוי היה - כך טוענת היום חברת סימנטק. "בעבר, יועצים מטעם אורקל טענו לא אחת שנקודות תורפה אינן יכולות להיות מנוצלות מבלי שלתוקף תהיה את היכולת לייצר פרוצדורה או פונקציה", מסבירה סימנטק באזהרה שנשלחה למנויי שירות DeepSight. "אולם הגילוי האחרון מכריע את הדיון ומראה בבירור שניצול נקודות התורפה אפשרי גם במקרה של הרשאות מוגבלות".



בתגובתה, אורקל נמנעת מלאשר או להכחיש האם הטכניקה החדשה אכן עובדת כמתואר. דובר החברה הסתפק בדברים הבאים - "המסמך של NGGSoftware מתאר טכניקה אשר עשויה לסייע לתוקף לנצל נקודת תורפה בגישה לקוד SQL". הדובר ממשיך וכותב - "תיקונים לנקודת התורפה המתוארת במסמך נכללו בעדכון האבטחה של אוקטובר 2006 (October 2006 CPU - Critical Patch Update). על מנת להגן על עצמם מהתקפות על פי המתואר במסמך, אורקל ממליצה בתוקף ללקוחותיה להתקין את ה-CPU המעודכן".


טרם התפרסמו תגובות

הוסף תגובה חדשה

+
בשליחת תגובה אני מסכים/ה
    walla_ssr_page_has_been_loaded_successfully