Archive for August, 2007

Oracle Jinitiator ActiveX control enthält mehrere Stack Buffer Overflows

Donnerstag, August 30th, 2007

Wie das US Cert im folgenden Advisory berichtet, enthält das ActiveX Control des Jinitiator 1.1.18.16 und früher mehrere Buffer Overflows, die Remote Code Execution erlaubt. Da dieses Control bei der Neuinstallation nicht entfernt wird, sind viele Systems davon betroffen. Da es keine Patches dafür gibt, empfiehlt das Cert ActiveX komplett zu deaktivieren (was meistens keine Alternative ist) oder aber das entsprechende Killbit zu setzen.

Die folgende Datei sollte als Textdatei abgespeichert und ausgeführt werden. Weitere Details zu Killbits und ActiveX findet man bei Microsoft in der Support-Note 240797.

———–killbit.reg—————

    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{9b935470-ad4a-11d5-b63e-00c04faedb18}]
    "Compatibility Flags"=dword:00000400

———–killbit.reg—————

Posted in Oracle Security, Security | No Comments »

Exklusive Partnerschaft zwischen Red-Database-Security GmbH und Pete Finnigan Ltd.

Dienstag, August 21st, 2007

Red-Database-Security GmbH und Pete Finnigan Ltd arbeiten ab sofort in einer exklusiven Partnerschaft zusammen:

Eine der ersten gemeinsamen Aktivitaeten ist ein gemeinsames Oracle Anti-Hacker-Training in London, UK vom 29. Oktober bis zum 2. November.
Weiterhin wird Pete Finnigan auf der DOAG mit Alexander Kornbrust den Vortrag: „Best of Oracle Security  2007“ halten.

Posted in Allgemein, Oracle, Security | 1 Comment »

Oracle-Deutschlandchef Jürgen Kunz über Oracle Security

Montag, August 13th, 2007

In einem Interview mit der CZ kommt der Deutschland Chef von Oracle Jürgen Kunz zu einem interessanten Schluss bzgl. Oracle Sicherheit “ Es ist in der Vergangenheit niemandem gelungen, über die Datenbank in unternehmenskritische Applikationen einzudringen“…
Interessant aber definitiv falsch. Wie bei jedem System werden meistens die schwächsten Stellen ausgenutzt. Und z.T. ist das eben die Datenbank, meistens aber die Anwendung. Das hängt vom Angreifer ab.

Bzgl. des Patchmanagements gebe ich allerdings Jürgen Kunz recht, dort sind auch die Anwender gefordert. Auch wenn das in der Vergangenheit nicht immer einfach war (siehe auch Probleme Oracle CPU April 2007 & Oracle 8.0.5 Clients oder Oracle Oktober/Januar CPU führt zur RMAN-Problemen). Oftmals ist auch schlichtweg wegen Patch-Konflikten nicht möglich, die Oracle Patches einzuspielen, weshalb nun die napply-Patches eingeführt wurden.
Oracle Security ist nicht nur ein Problem, das gelöst werden muss, sondern das komplexe Zusammenspiel vieler Faktoren (Oracle DB, Patches, Konfiguration, Anwendungen, DBAs, …). Und da muss jeder seiner Teil dazu beitragen.

Posted in Allgemein, Oracle Security | No Comments »

Whitepaper über Oracle Forensik

Sonntag, August 12th, 2007

David Litchfield hat auf seiner Seite ein neues, kurzes Whitepaper „Finding Evidence of Data Theft in the Absence of Auditing„veröffentlicht.

In dem Whitepaper beschreibt David, wie man Spuren von Select-Abfragen finden kann, sofern kein Auditing eingeschaltet ist. Dazu verwendet er beispielsweise die View v$sql oder wrh$sqlstat. Dies kann ein Angreifer mit Hilfe eines (private) Synonyms aber umgehen:

SQL> create synonym alex for sys.dba_users;

SQL> select * from alex;

Die Vorgehensweise ist meiner Erfahrung nach meistens nicht in der Praxis einzusetzen, da zwischen einem Vorfall und der Untersuchung oftmals Wochen/Monate vergehen. Bis dahin ist aber V$SQL gelöscht. Und die Tabelle wrh$sqlstat kann vom (cleveren) Angreifer modifiziert werden.

Posted in Allgemein, Forensik | No Comments »

Oracle 11g ist verfügbar

Freitag, August 10th, 2007

Oracle 11g ist zum download verfügbar (bisher nur Linux).

Posted in 11g, Allgemein, Oracle | No Comments »