Děravá věštírna

Údaje z databáze bez hesla Navzdory tomu, že Larry Ellison, CEO Oraclu, prohlásil svůj software za "unbreakable", se na ...


Údaje z databáze bez hesla
Navzdory tomu, že Larry Ellison, CEO Oraclu, prohlásil svůj software za
"unbreakable", se na veřejnost dostaly informace o dírách, které hackerům
umožnily mimo jiné přístup na databázový server Oraclu bez znalosti
uživatelského jména a hesla.
Problém objevili experti z britské společnosti Next Generation Security
Software (NGSS) a Oracle na něj upozornili v prosinci loňského roku. David
Litchfield, spoluzakladatel NGSS, hodlá způsob možného průniku prezentovat na
nadcházející bezpečnostní konferenci Black Hat.
Chyba v Oracle9i a Oracle8i aplikačních serverech, která umožňovala útočníkům
neautorizovaný přístup na databázový server, také dovolovala hackerům spouštět
ze vzdáleného systému na serveru různé funkce. Druhá trhlina v ochraně pak
umožňovala útočníkům spouštět na Oracle9i libovolný kód a vykonat DoS (Denial
of Service) útok. Tato chyba se týkala operačních systémů Sun Solaris 2.6 pro
procesory SPARC, Windows NT a Windows 2000 Server a 32bitového HP-UX 11.0.
Poslední díra umožňovala hackerům stáhnout z Oracle9i aplikačního serveru
zdrojové kódy JSP (Java Server Pages) stránek. V nich se často nacházejí
důležité informace, jako jsou uživatelská jména a hesla pro přístup do
databází.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.