Discussion :

[Gordon Fowler]

Mise à jour du 04/02/10

Oracle 11g R2 : une faille permet de prendre le contrôle total du SGBD
L'implémentation de Java dans la base de données serait en cause


La base de donnée Oracle 11g R2 possèderait une faille de sécurité importante qui permettrait à un utilisateur mal intentionné d'en prendre le contrôle complet et total ("complete control over the database").

C'est en tout cas ce qu'affirme David Litchfield, chercheur renommé pour le NGS Consulting lors du colloque sur la sécurité informatique du Black Hat.

Démonstration à l'appui, Litchfield a ainsi montré à l'assistance comment un utilisateur lambda pouvait s'approprier des droits d'administration supérieurs.
Il explique par ailleurs que la faille viendrait de la manière dont Java a été implémenté dans Oracle 11g Release 2.

Jusqu'à ce que Oracle la colmate, David Litchfield recommande donc aux administrateurs du SGBD de limiter l'accès et l'exécution publics de certaines fonctions en Java.

Pour faciliter la tache de Larry Ellisson, le pDG d'Oracle, avec qui il entretient visiblement des relations "rock n' roll" (vo "rocky relations"), le chercheur publiera prochainement un white paper de son exploit.

Néanmoins, ce vétéran de la recherche en sécurité (et un des plus reconnus) trouve que la sécurité du SGBD d'Oracle s'est nettement améliorée par rapport aux versions précédentes.

Ce qui ne l'empêche pas d'affirmer dans le même temps que le géant du logiciel se repose trop sur les outils de sécurité au lieu d'intégrer ces problématiques dès la phase de conception de ses produits.

Ce n'est visiblement pas demain la veille que les deux seniors deviendront les meilleurs amis du monde IT.


Source : Conférence lors du Black Hat

Et vous ?

Pensez-vous comme David Litchfield qu'Oracle ne prend pas assez en compte la sécurité dans la conception de ses offres ?

Comment régissez-vous à cette annonce de cet exploit "zero-day" : indifférence, préoccupation, étonnement ?

MAJ de Gordon Fowler




Mise à jour du 02/09/09

Base de données : la 11g R2 d'Oracle vient de sortir

Comme prévu, Oracle Database 11g Release 2 vient de sortir.

Cette nouvelle génération [de] bases de données s'appuie sur les innovations introduites par Oracle Database 11g pour aider les entreprises à bénéficier d'un meilleur traitement des informations à travers l'ensemble de leur organisation, avec une meilleure qualité de service et pour un coût inférieur.

Elle est annoncée par Oracle comme pouvant diviser le coût des serveurs par 5 tout en les consolidant au sein d'une architecture grid.

La 11g R2 est disponible en téléchargement gratuit sur cette page (NB : pour Linux).

Base de données : la 11g R2 d'Oracle sera présentée dès Septembre

L'update du fer de lance d'Oracle en matière SGBD était extrêmement attendue.
La nouvelle ravira dons les utilisateurs : la mise à niveau arrivera Septembre 2009.

Des améliorations sont annoncées particulièrement dans les grilles de calcul, la gestion du stockage et le partitionnement des données (alias le "clustering").

Jusqu'à présent, l'entreprise refusait de confirmer la rumeur, préférant laisser ses béta-testeurs travailler dans le plus grand secret.

Cette rumeur était née suite aux propos de Charles Philips, Président d'Oracle, lors d'une conférence de presse du 28 février dernier où il déclarait :

New release of the database 11g release 2 should happen in Q1.

Pour mémoire, le Q1 est le premier trimestre fiscal américain qui débute en Juin.

Ian Abramson, president du "Groupe des Utilisateurs Independants d'Oracle", a lui participé au test de la version béta.
Il pense que celle-ci est largement plus stable que la précédente.

Sur son blog, il déclare qu'elle devrait convaincre beaucoup d'utilisateurs de la 10g de franchir le pas, chose que la 11g, parue en Juillet 2007, n'avait que partiellement réussi à faire :

[...] how can you tell if someone is a Junior or Senior DBA ? The answer goes that when the first version of the software arrives the Junior DBA wants to install it straight to production and the Senior DBA throws out the CD and waits for Release 2 [...] So here we are with Oracle 11g Release 2, and based on what I have seen .... you should start to consider the adoption of the this release.

La présentation officielle de la 11g R2 aura lieu le 29 Septembre prochain à Bedford.

Sources :

L'annonce officielle d'Oracle
Le blog des utilisateurs indépendants d'Oracle
Le compte rendu de la conférence du Président d'Oracle

Lire aussi :

Tout Oracle sur Developpez.com: le forum, les outils, les FAQ, les tutos.

Rachat de Sun par Oracle : Le département américain de la justice vient de donner son accord
Le PDG d'Oracle touchera un salaire de 1 dollar sur 2010

Et vous ? :

Attendiez-vous avec impatience la 11g R2 ?
D'après vous, peut-elle convaincre les utilisateurs de la 10g de tenter l'upgrade ?
Que pensez-vous de la boutade de Abramson sur la différence entre les DBA expérimentés et les newbies ?

[Laurent_du_78]

bonjour,
il y a une présentation à paris le 22/09.
Attendiez-vous avec impatience la 11g R2 ?
Non

D'après vous, peut-elle convaincre les utilisateurs de la 10g de tenter l'upgrade ?
L'upgrade vers la 11g (R1 ou R2) va surement est nécessaire pour une simple raison : la date de fin de support de la 10g Correction 31/07/2010 et Extend 31/07/2013.
Les nouveautés sont pour la plupart payantes, voir des améliorations comme la compression, cryptage deviennent payantes

Que pensez-vous de la boutade de Abramson sur la différence entre les DBA expérimentés et les newbies ?
pas compris

[Emmanuel Lecoester]

Pour la blague idem pas trop bien comprise à part que le noob va vouloir installer la dernière version et prod et que le leet va attendre sagement la R2.

[laurentschneider]

pour les impatients, la 11gR2 est disponible sur le site d'Oracle

http://www.oracle.com/technology/sof...ase/index.html

[orafrance]

Pour la blague idem pas trop bien comprise à part que le noob va vouloir installer la dernière version et prod et que le leet va attendre sagement la R2.

La blague c'est que le junior va se jeter sur la nouvelle version alors que le senior sait qu'il y a une constante chez Oracle : les nouvelles versions ne valent la peine d'être installées qu'à partir de la deuxième release

Blague de DBA senior quoi

[Gordon Fowler]

MAJ : la 11g R2 est disponible !

[petitfrere]

vous testez vous me faite un rapport détaillé et je migre mon rac mes 3 standby et mes 8 standalones, MERCi lol

merci

[Laurent_du_78]

La blague c'est que le junior va se jeter sur la nouvelle version alors que le senior sait qu'il y a une constante chez Oracle : les nouvelles versions ne valent la peine d'être installées qu'à partir de la deuxième release

Blague de DBA senior quoi

A j'avais bien compris la blague alors, je manque d'humour donc

Sinon, que veut dire

Des améliorations sont annoncées particulièrement dans les grilles de calcul, ...

[orafrance]

C'est le grid computing... le calcul partagé (ferme de serveurs) serait une traduction plus correcte je pense

[Gordon Fowler]

Oracle 11g R2 : une faille permet de prendre le contrôle total du SGBD
L'implémentation de Java dans la base de données serait en cause


La base de donnée Oracle 11g R2 possèderait une faille de sécurité importante qui permettrait à un utilisateur mal intentionné d'en prendre le contrôle complet et total ("complete control over the database").

C'est en tout cas ce qu'affirme David Litchfield, chercheur renommé pour le NGS Consulting lors du colloque sur la sécurité informatique du Black Hat.

Démonstration à l'appui, Litchfield a ainsi montré à l'assistance comment un utilisateur lambda pouvait s'approprier des droits d'administration supérieurs.
Il explique par ailleurs que la faille viendrait de la manière dont Java a été implémenté dans Oracle 11g Release 2.

Jusqu'à ce que Oracle la colmate, David Litchfield recommande donc aux administrateurs du SGBD de limiter l'accès et l'exécution publics de certaines fonctions en Java.

Pour faciliter la tache de Larry Ellisson, le pDG d'Oracle, avec qui il entretient visiblement des relations "rock n' roll" (vo "rocky relations"), le chercheur publiera prochainement un white paper de son exploit.

Néanmoins, ce vétéran de la recherche en sécurité (et un des plus reconnus) trouve que la sécurité du SGBD d'Oracle s'est nettement améliorée par rapport aux versions précédentes.

Ce qui ne l'empêche pas d'affirmer dans le même temps que le géant du logiciel se repose trop sur les outils de sécurité au lieu d'intégrer ces problématiques dès la phase de conception de ses produits.

Ce n'est visiblement pas demain la veille que les deux seniors deviendront les meilleurs amis du monde IT.


Source : Conférence lors du Black Hat

Et vous ?

Pensez-vous comme David Litchfield qu'Oracle ne prend pas assez en compte la sécurité dans la conception de ses offres ?

Comment régissez-vous à cette annonce de cet exploit "zero-day" : indifférence, préoccupation, étonnement ?

[laurentschneider]

bon, la faille il faut la trouver. mais c'est vrai que suivant les failles que tu trouves, Oracle a parfois une reaction d'autruche.

Bon, la, le controle total, c'est grave, mieux vaut virer Java alors

[orafrance]

Bon, la, le controle total, c'est grave, mieux vaut virer Java alors

Ca a toujours été le cas du reste depuis qu'Oracle à intégrer le java, ils vont de problème en problème

[scheu]

Sinon à part ça certains ont-il déjà upgradé certaines de leurs bases en 11gR2 ?
Pas trop de soucis ? Un patch 11.2.0.2 est-il bientôt prévu ?

[voran]

Ca a toujours été le cas du reste depuis qu'Oracle à intégrer le java, ils vont de problème en problème

Enfin, là il est question du package Java non ?

[orafrance]

Pensez-vous comme David Litchfield qu'Oracle ne prend pas assez en compte la sécurité dans la conception de ses offres ?

Sans aucun doute, ils restent encore beaucoup de failles à colmater au sein du SGBD lui-même et le temps de réaction d'Oracle est bien trop long eu égard à la criticité des données qu'ils peuvent compter parmi leur leurs plus gros clients.

Comment régissez-vous à cette annonce de cet exploit "zero-day" : indifférence, préoccupation, étonnement ?

Indifférence, en effet, les utilisateurs lambda n'ont pas à avoir des accès en exécution sur les packages system, de fait, la faille n'est sensé pas être utilisable. Cela n'impacte que les bases où le DBA a une politique laxiste de la sécurité.

[voran]

Sans aucun doute, ils restent encore beaucoup de failles à colmater au sein du SGBD lui-même

Ha ? Lesquelles ?

et le temps de réaction d'Oracle est bien trop long

Des exemples peut-être ?

[orafrance]

Ha ? Lesquelles ?

Des exemples peut-être ?

par exemple : http://seclists.org/fulldisclosure/2006/Apr/176

Mettre à jour des tables alors que t'es pas sensé avoir les droits c'est facheux je trouve

Quand on voit des bases de prod avec SYSTEM/MANAGER, ou des bases de test, copies conformes de la prod du point de vue des données, où le mot de passe est identique au nom du compte systématiquement (SCOTT/SCOTT)...

Sans aller jusque là, je ne compte plus les bases de prod copiée en dév ou tout le monde à un accès total et dont les données ne sont pas anonymisées. Nickel pour transmettre des données critiques à des prestataires qui n'ont pas les habilitations pour le faire

je ne rentrerais pas dans les détails mais c'était une solution logicielle pour le secteur public.
Et pour se connecter à la machine de la bd, il y avait une sécurité par RDP à deux ou trois niveaux...

Sinon, il y a les petits développement qui perdure et arrive en prod avec une bd installée par un non dba.

J'ai vu TRES souvent le mot de passe de APPS en clair dans les logs d'Oracle Application de développements spécifiques. APPS sous OeBS c'est le root d'Unix

[voran]

par exemple : http://seclists.org/fulldisclosure/2006/Apr/176

Mettre à jour des tables alors que t'es pas sensé avoir les droits c'est facheux je trouve

Et ce n'est pas corrigé ?

J'ai vu TRES souvent le mot de passe de APPS en clair dans les logs d'Oracle Application de développements spécifiques. APPS sous OeBS c'est le root d'Unix

pas top, mais qui a accès aux logs ?

[Invité]

J'ai vu TRES souvent le mot de passe de APPS en clair dans les logs d'Oracle Application de développements spécifiques. APPS sous OeBS c'est le root d'Unix

Ah ouais, encore plus trivial, le mot de passe de sys ou system écrit dans le script du job de sauvegarde automatique (ou autre job...)
C'est fort utile quand le client ne veut pas te donner ces mot de passe... pour raison de sécurité...

[Pomalaix]

Cela n'impacte que les bases où le DBA a une politique laxiste de la sécurité.

Et malheureusement, ça représente un pourcentage assez impressionnant !
Quand on voit des bases de prod avec SYSTEM/MANAGER, ou des bases de test, copies conformes de la prod du point de vue des données, où le mot de passe est identique au nom du compte systématiquement (SCOTT/SCOTT)...