Sono quasi 3 mesi che seguo con interesse il blog di George Ou e, a differenza di siti più importanti che hanno avuto clamorose cadute di stile (vedi il caso di WebProNews e MySQL), George Ou si è sempre mantenuto su un livello più che accettabile seppur discutibile con le sue prese di posizione.
L’articolo che desidero porre quest’oggi alla vostra attenzione tratta Oracle e la spinosa questione delle patch.
L’argomento trattato è di seria attualità considerando che buona parte dei dati sensibili mondiali risiedono su Database Oracle.
Buona Lettura.
“
Quando la gente si lamenta delle 2 o 3 patch mensili per rimediare le vulnerabilità sui loro sistemi Windows, non posso altro che accennare ad una lieve risata al pensare della tremenda situazione degli utenti Oracle. Oracle, che si è sempre vantata del suo essere “unbreakable” e “never breaks” ha appena rilasciato il suo critical patch update composto da fixes per la bellezza di 82 vulnerabilità critiche in quasi ognuno dei prodotti Oracle. Molte organizzazioni che usano Oracle lasciano se stesse esposte a questi freschi exploits per MESI. Sfortunatamente, la più critica di Oracle PL/SQL Gateway, che permette ad un hacker di guadagnare pieno controllo amministrativo di un database back-end da qualsiasi posto su Internet, è stata lasciata unpatched — anche se è stata svelata da Oracle nell’Ottobre del 2005.
David Litchfield, scopritore del bug che avverti’ subito Oracle, dimostrò la vulnerabilità al Black Hat 2006 Federal Briefing in Washingto. Litchfield postò quindi questo workaround in modo che le società potessero “sviare?? questa vulnerabilità, facendosi beffeggio in maniera indiretta di Oracle per non aver rilasciato la patch per questo quarter’s patch cycle significando che gli utenti Oracle saranno esposti ancora per 90 giorni …. Sebbene il proof-of-concept exploit code non sia stato rilasciato da Litchfield, è solo una questione di tempo se qualche “cracker?? rilascierà un workaround tramite del reverse engineering. Tutte le organizzazioni che usano l’ Oracle PL/SQL Gateway dovrebbero applicare il workaround di Litchfield’s il piu presto possibile come pure le 82 patch critiche.
Per rendere le cose peggiori, un’altra falla critica chiamata DB18 che afflige il database Oracle 8i/9i/10g (scoperta da Imperva) è stata bloccata nel ciclo di path attuali esattamente due mesi successivi alla comunicazione della falla. Questo bug è cosi’ “cattiva?? perchè afflige tutti i database Oracle degli ultimi 5 anni e permette ad un hacker il “giro di privilegi?? da guest a database administrator. Da quando lo sviluppo di Oracle è complesso per via delle numerose dipendenze [..], spesso passano settimane o più per pianificare e testare una patch di Oracle. Come risultato, molte organizzazioni lasciano se stesse esposte a questi exploits per mesi.
Se pensiamo che quanto detto finora sia tutto non è cosi’, ieri è stato rilasciato un “XML database component buffer overflow proof-of-concept exploit?? che riguarda l’ Oracle Database Server 9i/10g. Questa falla permette ad un cracker il lancio di shellcode su un database server Oracle per ottenere pieno controllo. Con un filo di ironia, il “codice shell?? proof-of-concept produce in output un file testo sul server dal nome”unbreakable.txt” al cui interno troviamo la stringa “ARE YOU SURE?”. Quando Larry Ellison proclamò al mondo che Oracle era “unbreakable”, i crackers del mondo risposero con “root”…
Ciò è piuttosto comico se non fosse che buona parte dei dati sensibili a livello mondiale risiedono su database Oracle. [...].
“
