В рамках проходящей в США технической конференции Black Hat ИТ-эксперты компании NGS Consulting сообщили о наличии критически опасной уязвимости в популярной СУБД Oracle 11g. Обнаруженная уязвимость предоставляет атакующему полный неограниченный удаленный доступ к базе.
Девид Литчфилд, технический специалист NGS, в рамках своего доклада продемонстрировал возможность поднятия привилегий в Oracle 11g для получения полного контроля над данными. По словам эксперта, на поиск уязвимостей в программном обеспечении его подвигли слова главы Oracle Ларри Эллисона о том, что их база данных "невзламываемая".
Литчфилд говорит, что обнаруженный его компанией баг эксплуатирует виртуальную машину Java, работающую вместе с СУБД. Для того, чтобы использовать эксплоит, у пользователя должна быть хоть какая-то учетная запись на сервере баз данных и через существующие для него легитимные привилегии он может выдать сам себе повышенные права на доступ к данным.
В своей демонстрации Литчф
...
Читать дальше »