شماره: IRCNE201001626
يك محقق امنيتي معروف در كنفرانس Black Hat نشان داد كه چگونه يك كاربر عادي اوراكل 11g مي تواند از سد امنيتي گذشته و كنترل كامل پايگاه داده را در اختيار بگيرد.
در اين روش مهاجم كه اختيارات يك كاربر عادي را دارد، مي تواند سطح دسترسي خود را تا حد مدير پايگاه داده بالا برده و اختيار كامل آن را در دست گيرد. اين محقق امنيتي كه David Litchfield نام دارد گفته است، از آنجايي كه مدير عامل اوراكل، اين پايگاه داده را غيرقابل نفوذ خوانده بود، وي سعي كرده است تا خلاف اين گفته را ثابت كند.
در گزارش كشف اخيرLitchfield در مورد آسيب پذيري اوراكل آمده است، به علت شيوه اي كه جاوا در اوراكل 11g پياده سازي شده است، كاربر با حق دسترسي محدود مي تواند حق دسترسي خود را تا حدي كه مي خواهد بالا ببرد. وي در يك demo نشان داد كه چگونه توانسته است دستوراتي را اجرا كند كه تنها مدير سيستم اجازه اجراي آنها را داشته است.
وي به مديران پايگاه داده هاي اوراكل توصيه كرد، تا زماني كه اوراكل اصلاحيه مربوطه را منتشر سازد، اجازه اجراي اسكريپت هاي جاوا را براي كاربران عادي محدود كنند. وي همچنين ابراز اميدواري كرد كه اوراكل هر چه سريعتر اصلاحيه مربوطه را حاضر سازد. او از اوراكل انتقاد كرد كه چرا در زمان طراحي متوجه نقص امنيتي مذكور نشده است.
- 2