Nieuws

Onderzoeker vindt 10 Oracle bugs in 10 minuten

vrijdag 2 maart 2007, 10:04 door Redactie, 4 reacties

Beveiligingsonderzoeker Cesar Cerrudor, die in december nog een week van de Oracle bugs wilde organiseren en mogelijk onder de druk van Oracle deze annuleerde, heeft tijdens de Black Hat DC conferentie gedemonstreerd hoe eenvoudig het is om gaten in de databasesoftware te vinden. Tijdens een 10-minuten audit wist hij 10 lekken in Oracle versie 10g R2 te vinden waardoor een aanvaller objecten in de applicatie kan manipuleren.

De bugs waren eenvoudig te vinden via gratis tools als Process Explorer, WinObj, Pipeacl, en Interactive Disassembler (IDA). "De nieuwe versie van Oracle is veiliger dan voorgaande versies, maar dat betekent niet dat het veilig is. Oracle heeft nog steeds veel werk te doen" aldus Cerrudor. Volgens de onderzoeker zou niet alleen Oracle, maar ook andere database software voor dit soort lekken kwetsbaar zijn. Lekken waardoor een denial of service of het uitvoeren van willekeurige code mogelijk is.

"80% internetverkeer in Rusland is spam"

PHP goeroe start maand van PHP lekken

Reacties (4)

02-03-2007, 10:34 door Anoniem

En nu gaat Oracle zeker juridiche stappen tegen Cesar zetten, omdat hij
toch die lekken gedemonstreerd heeft?

Ze mogen blij wezen dat ze op hun lekke software gewezen worden...
ownee want nu moeten ze weer aan het werk om die lekken de verhelpen

02-03-2007, 12:22 door Anoniem

Had dan even een wat langere audit gedaan....

02-03-2007, 13:19 door Anoniem

Wat ik echt niet begrijp is dat met gratis tools dergelijke bugs zomaar voor
het rapen liggen. Heeft Oracle dan niets van dergelijke software?
En je hoort steeds vaker ivm bepaalde applicaties dat er eenvoudige tools
bestaan die bugs bloot leggen.
Het is onbegrijpelijk en onverantwoord dat dergelijke firma's software
releasen waarna derden in een handomdraai hun systeem kunnen
blootleggen.
Eigenlijk begrijp ik niet dat er claims tegen Oracle worden ingediend.

Je koopt toch geen auto om daarna met een gratis onderhoudspakket te
kunnen constateren dat bij 100 km/uur je wielen eraf vallen.

02-03-2007, 18:43 door Bitwiper

[url=http://archives.cnn.com/2002/TECH/industry/01/21/oracle.unbreakable.idg/]Begin jan. 2002 zei Larry Ellison volgens CNN[/url]
(IDG) -- Oracle Corp. Chairman and Chief Executive Officer Larry Ellison said Thursday that Oracle software remains unbreakable and mocked a memo sent this week by arch rival Bill Gates stressing to Microsoft Corp.'s employees the importance of security in the company's products.

"Microsoft isn't good at security. We're good at that and I don't think sending a memo is going to help," said Ellison

Yeah right.

David Litchfield van [url=http://www.ngssoftware.com/]NGSS[/url] voert al jaren een gevecht tegen deze leugen ([url=http://news.com.com/Flaw+hunters+pick+holes+in+Oracle+patches/2100-1002_3-5916171.html?tag=html.alert]voorbeeld[/url] of Google naar: Litchfield Oracle).

Ik geloof niet dat ik voor Larry Ellison zou willen werken. In aug. 2006 zou Oracle's chief security officer Mary Ann Davidson hebben [url=http://www.merit.edu/mail.archives/netsec/2006-08/msg00024.html]gezegd[/url]:

"calling your code 'unbreakable' is like having a big bullseye on your products and your firewall".

Eind 2006 presenteerde Larry [url=http://tweakers.net/nieuws/44950/Oracle-presenteert-Unbreakable-Red-Hat-variant.html]Unbreakable Linux[/url].

Anoniem op vrijdag 02 maart 2007 13:19
Je koopt toch geen auto om daarna met een gratis onderhoudspakket te kunnen constateren dat bij 100 km/uur je wielen eraf vallen.

Maar die vergelijking gaat ook weer niet op.

Een m.i. betere vergelijking is hoe resistent je auto is tegen inbraak en beschadigen (per ongeluk met winkelwagentjes maar ook opzettelijk bekrassen met een sleutel of zakmes). Waarbij inbraak wellicht de beste vergelijking is: in beide situaties kunnen belangrijke gegevens van jou ontvreemd worden als je die daar achter laat. Punt is dat je het zelf in de hand hebt of je je notebook in je auto laat liggen.

Belangrijk is dat noch de koper noch de maker van (database) software netto gebaat zijn bij allerlei beschemende maatregelen die het product gegarandeerd duurder maken, tenzij er een concurrent opstaat die voor hetzelfde geld een beter product levert.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

32 reacties

Lees meer