Archive for November, 2007

DOAG Präsentation – Best of Oracle Security 2007

Mittwoch, November 28th, 2007

Ich habe gerade einige Präsentationen zum Thema DOAG 2007 – „Best of Oracle Security 2007“ (dt). und Deepsec 2007 – „Retrieving Sensitive Information from Oracle Databases“ (engl.) hochgeladen.

Eine Liste unserer Präsentationen finden Sie hier.

Vertragsunterzeichnung mit Red Database Security auf der DOAG

Mittwoch, November 28th, 2007

Vertragsunterzeichnung mit Red Database Security auf der DOAG

RDS - Opitz Vertrag

Bernhard Opitz, OPITZ CONSULTING mit Alexander Kornbrust, Red Database Security Mit Unterschrift und Händedruck besiegelten Bernhard Opitz, Geschäftsführung OPITZ CONSULTING und Alexander Kornbrust, Geschäftsführer Red Database Security die neue Partnerschaft: Im offiziellen Rahmen der 20. Deutsche ORACLE-Anwenderkonferenz in Nürnberg wurde der Kooperationsvertrag unterschrieben. In dem mehrere Seiten umfassenden Dokument sind die Bereiche der Zusammenarbeit und die jeweiligen Zuständigkeiten detailliert beschrieben und festgelegt worden.

Zukünftig wird es in enger Zusammenarbeit beider Unternehmen folgende Angebote für unsere Kunden geben:

* CPU-Review: Ergänzend zum vierteljährlich erscheinenden Critical Patch Update von Oracle werden die enthaltenen Fixes bewertet und kommentiert. CPU-Review wird als elektronisches Abonnement angeboten.
* Schulungen im Bereich „Oracle Security“ für Datenbankadministratoren, Software-Entwickler und das Management
* Durchführung von Tool-gestützten Security-Checks

Über unseren neuen Partner:
OPITZ CONSULTING wurde 1990 als Gesellschaft für Organisationsberatung und Projektabwicklung gegründet. Das Unternehmen verfügt heute über eine Zentrale in Gummersbach und Niederlassungen in Bad Homburg, Gummersbach, Hamburg und München. Die Gründer hatten die Vorstellung, Organisationsberatung und Durchführung von IT-Projekten aus einer Hand anzubieten – beginnend mit der Geschäftsprozessanalyse über die Realisierungskonzeption und anschließende Realisierung bis hin zur Betreuung der Lösungen während des gesamten Lifecycles. Somit ein ganzheitlicher Ansatz, für den der Slogan „Solution Engineering for your Business“ geprägt wurde.

D.o.S. Exploit für Oracle 10.2.0.1/10.2.0.2 auf Bugtraq veröffentlicht

Samstag, November 3rd, 2007

Gestern hat ein anonymer Poster (oraclefun@hushmail.com) einen Exploit für XDB_PITRIG_PKG.PITRIG_DROPMETADATA in Oracle 10.2.0.1/10.2.0.2 auf der Sicherheits Mailingliste Buqtraq veröffentlicht, ohne jedoch Erklärungen über betroffene Versionen zu veröffentlichen. Nach einigen Tests gegen verschiedene Datenbank-Versionen habe ich herausgefunden, dass nicht gepatchte Oracle 10.2.0.1 und 10.2.0.2 Datenbanken sofort abstürzen.

Um diesen Exploit laufen zu lassen sind lediglich „Create Session“-Privilegien notwendig. 10.2.0.3 ist nicht davon betroffen.

Erwähnenswert ist weiterhin, dass dieser Exploit IDS Evasion Techniken verwendet und damit viele der üblichen netzwerkbasierten IDS Systeme austrickst.

Oracle 9i Rel. 1, 9i Rel. 2, 10g Rel.1 und 11g sind ebenfalls nicht betroffen und werfen Fehlermeldungen.
######### 9.2.0.8 , 10.1.0.5 #########
ERROR at line 22:
ORA-06550: line 22, column 1:
PLS-00201: identifier ‚XDB.XDB_PITRIG_PKG‘ must be declared
ORA-06550: line 22, column 1:
PL/SQL: Statement ignored
#########

######### 10.2.0.3 or 11g #########
ERROR at line 1:
ORA-29329: Table not of type XMLType
ORA-06512: at „XDB.XDB_PITRIG_PKG“, line 127
ORA-06512: at line 22
#########