30 Aug 2007 von Alexander Kornbrust.

Wie das US Cert im folgenden Advisory berichtet, enthält das ActiveX Control des Jinitiator 1.1.18.16 und früher mehrere Buffer Overflows, die Remote Code Execution erlaubt. Da dieses Control bei der Neuinstallation nicht entfernt wird, sind viele Systems davon betroffen. Da es keine Patches dafür gibt, empfiehlt das Cert ActiveX komplett zu deaktivieren (was meistens keine Alternative ist) oder aber das entsprechende Killbit zu setzen.

Die folgende Datei sollte als Textdatei abgespeichert und ausgeführt werden. Weitere Details zu Killbits und ActiveX findet man bei Microsoft in der Support-Note 240797.

———–killbit.reg—————

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{9b935470-ad4a-11d5-b63e-00c04faedb18}]
“Compatibility Flags”=dword:00000400

———–killbit.reg—————

Geschrieben in Security, Oracle Security | Drucken | Keine Kommentare »

21 Aug 2007 von Alexander Kornbrust.

Red-Database-Security GmbH und Pete Finnigan Ltd arbeiten ab sofort in einer exklusiven Partnerschaft zusammen:

Eine der ersten gemeinsamen Aktivitaeten ist ein gemeinsames Oracle Anti-Hacker-Training in London, UK vom 29. Oktober bis zum 2. November.
Weiterhin wird Pete Finnigan auf der DOAG mit Alexander Kornbrust den Vortrag: “Best of Oracle Security  2007″ halten.

Geschrieben in Oracle, Security, Allgemein | Drucken | 1 Kommentar »

13 Aug 2007 von Alexander Kornbrust.

In einem Interview mit der CZ kommt der Deutschland Chef von Oracle Jürgen Kunz zu einem interessanten Schluss bzgl. Oracle Sicherheit ” Es ist in der Vergangenheit niemandem gelungen, über die Datenbank in unternehmenskritische Applikationen einzudringen”…
Interessant aber definitiv falsch. Wie bei jedem System werden meistens die schwächsten Stellen ausgenutzt. Und z.T. ist das eben die Datenbank, meistens aber die Anwendung. Das hängt vom Angreifer ab.

Bzgl. des Patchmanagements gebe ich allerdings Jürgen Kunz recht, dort sind auch die Anwender gefordert. Auch wenn das in der Vergangenheit nicht immer einfach war (siehe auch Probleme Oracle CPU April 2007 & Oracle 8.0.5 Clients oder Oracle Oktober/Januar CPU führt zur RMAN-Problemen). Oftmals ist auch schlichtweg wegen Patch-Konflikten nicht möglich, die Oracle Patches einzuspielen, weshalb nun die napply-Patches eingeführt wurden.
Oracle Security ist nicht nur ein Problem, das gelöst werden muss, sondern das komplexe Zusammenspiel vieler Faktoren (Oracle DB, Patches, Konfiguration, Anwendungen, DBAs, …). Und da muss jeder seiner Teil dazu beitragen.

Geschrieben in Oracle Security, Allgemein | Drucken | Keine Kommentare »

12 Aug 2007 von Alexander Kornbrust.

David Litchfield hat auf seiner Seite ein neues, kurzes Whitepaper “Finding Evidence of Data Theft in the Absence of Auditing“veröffentlicht.

In dem Whitepaper beschreibt David, wie man Spuren von Select-Abfragen finden kann, sofern kein Auditing eingeschaltet ist. Dazu verwendet er beispielsweise die View v$sql oder wrh$sqlstat. Dies kann ein Angreifer mit Hilfe eines (private) Synonyms aber umgehen:

SQL> create synonym alex for sys.dba_users;

SQL> select * from alex;

Die Vorgehensweise ist meiner Erfahrung nach meistens nicht in der Praxis einzusetzen, da zwischen einem Vorfall und der Untersuchung oftmals Wochen/Monate vergehen. Bis dahin ist aber V$SQL gelöscht. Und die Tabelle wrh$sqlstat kann vom (cleveren) Angreifer modifiziert werden.

Geschrieben in Forensik, Allgemein | Drucken | Keine Kommentare »

10 Aug 2007 von Alexander Kornbrust.

Oracle 11g ist zum download verfügbar (bisher nur Linux).

Geschrieben in 11g, Oracle, Allgemein | Drucken | Keine Kommentare »