На главную страницу AlgoNet В сотрудничестве с ZDNet
АРХИВ СТАТЕЙ 2002-3-4 на главную / новости от 2002-3-4
AlgoNet.ru
поиск

 

Место для Вашей рекламы!

 

Все новости от 4 марта 2002 г.

Комментарии представительства Oracle в СНГ

Автор статьи, к сожалению, не до конца разобрался в предмете. Дело в том, что существует два программных продукта — Oracle9i Database (сервер баз данных) и Oracle9i Application Server (сервер приложений).

Из приведенного в статье списка атак 16 относятся именно к серверу приложений (это видно из таблицы в статье), и только одна (самая первая в таблице) — к серверу баз данных. Для начала стоило бы разделить Oracle9i Application Server (проблемам с которым, собственно, и посвящена статья) и Oracle9i Database.

Слоган Unbreakable (“неуязвимый”) относится именно к Oracle9i Database (и об этом ясно и недвусмысленно сказано во всех маркетинговых документах, доступных на корпоративном сайте www.oracle.com).

Таким образом, по сути нужно рассматривать только одну атаку — самую первую в списке. Надо сказать, что относится она вовсе не к серверу БД, а к внешней процедуре (external procedure), т. е. это взлом операционной системы, а не Oracle9i Database.

Используя этот трюк, можно стать пользователем операционной системы — пользователем с именем Oracle, а это ничего не дает с точки зрения базы данных — разве что ее можно скопировать как файл.

Что же касается сути вопроса, то процедура исполняется уже как отдельный модуль и с Oracle связана каналом передачи данных (здесь-то как раз и обнаружено уязвимое место). При чем здесь СУБД Oracle? Механизм named pipes — это механизм операционной системы, а не СУБД.

Получается, что Oracle9i Database действительно оправдал все те сертификаты, которые ему были выданы международными организациями, если за полгода все хакеры мира не смогли нащупать что-либо более существенное, чем внешние процедуры (которыми, кстати, в защищенных системах не пользуются — они применяются для выполнения обработки внешних по отношению к базе данных объектов).

За все это время была обнаружена единственная уязвимость, опасность которой в статье существенно преувеличена: утверждение, что “…уязвимость, обнаруженная 6 февраля 2002 г., позволяла злоумышленнику удаленно выполнять абсолютно любое действие на сервере баз данных...”, является попросту неверным.

Слова автора “...несмотря на то, что Oracle имеет 14 сертификатов, число обнаруженных в нем уязвимостей превысило допустимые пределы...” абсолютно не соответствует действительности. На самом деле была обнаружена только одна уязвимость, да и то спорная!

Автор статьи также берет на себя ответственность ставить под сомнение объективность международных организаций по стандартам в области информационной безопасности, а также объективность Государственной технической комиссии при Президенте Российской Федерации (все эти организации сертифицировали СУБД Oracle на соответствие критериям информационной безопасности): “…поставив под сомнение не только способность компании Oracle создавать защищенную продукцию, но и непредвзятость организаций, выдавших вышеназванные сертификаты качества…”.

Получается, что журналист PC Week обвиняет в недобросовестности по сути все институты, занятые сертификацией в области безопасности!

Таким образом, если разобраться объективно, то получается, что не было никаких катастрофических взломов сервера баз данных Oracle!

 

 Предыдущие публикации:
2002-02-27   Невзламываемый Oracle9i взломан
 В продолжение темы:
2002-02-27   Невзламываемый Oracle9i взломан
Обсуждение и комментарии
Алексей Лукацкий - lukainfosec.ru
5 Mar 2002 3:50 PM
1. Данное опровержение основано на том, что термин Unbreakable относится только к Oracle9i Database. К сожалению это не так. На странице http://www.oracle.com/features/oow/index.html?oow01_9iaslaun ch.html прямо написано "Oracle9i Application Server Release 2: Unbreakable". Соответственно все приведенные мной уязвимости имеют право на существование и прямо относятся к теме статьи.
2. В опровержении и на сайте Oracle написано что Oracle9i имеет 14 сертификатов, в то время, как все из них получены на предыдущие версии СУБД (7.х и 8.х). В т.ч., насколько мне известно, сертификаты ГТК выданы только Oracle 7.3.4 и Oracle 8.0.3., а не Oracle9i. Т.е. указанная в опровержении версия НЕ ИМЕЕТ ни одного сертификата и говорить о том, что ее "невзламываемость" подтверждена независимыми сертификационными организациями не совсем корректно.
3. Насчет необъективности ГТК - на эту тему можно долго говорить. Уже два месяца на сервере www.sec.ru идет дискуссия http://www.sec.ru/forum2.cfm?threadid=716&read=1&posa=1&stpa =10&pos=1&stp=20 на эту тему. В ней задействованы и пользователи и представители ГТК.
4. Что касается "катастрофических взломов", то я о них и не писал. Я писал об уязвимостях, т.е. потенциальной возможности их использования для взлома. А это несколько разные вещи.
 

Сергей Филатов - sfilatovrosneft.ru
9 Mar 2002 4:06 PM
Ни для кого не секрет, что все решения в области информационной безопасности - "ворота на поле". Много ворот. А между ними - "заходи кто хошь, бери что хошь...".
Данный комментарий - яркое подтверждение этому. Мы поставили ворота от сюда до сюда, остальное - не наше. С точки зрения приложения. А с точки зрения операционки, то за что отвечает приложение - совсем другой участок границы.
И попрежнему самой лучшей защитой остаётся грамотный админ, скурпулёзно залатывающий дыры в защите работающей системы, состоящей из "невзламываемых" продуктов.
 

 

← февраль 2002 1  2  3  4  5  6  7  8  9 апрель 2002 →
Реклама!
 

 

Место для Вашей рекламы!