Il famoso hacker di database David Litchfield ha presentato all' Blackhat DC 2010, uno zero day riguardante una falla nei database della Oracle nella versione 11g.
Questa falla permette a tutti gli utenti con privilegi di sessione, con l'utilizzo del pacchetto DBMS_JVM_EXP_PERMS, possono ottenere tutti i privilegi Java.
Il codice fornito da Litchfield è presente sul sito notsosecure.
Litchfield dimostra l'utilizzo della versione "release 2" della suddetta base di dati, come una gestione troppo permissiva del java consenta agli utenti di con bassi privilegi, di ottenere il controllo del database.
Nessun commento:
Posta un commento