Oi Pessoal, Efetuei testes utilizando as falhas mencionadas e o resultado é assustador: de um usuário comum, apenas com permissão de CREATE SESSION é possível conseguir a role de DBA em apenas 3 comandos no sqlplus.
Há pouco recebi um email da Oracle sobre atualização de segurança Fevereiro/2010, ainda não olhei as atualizações, mas creio que devem ter alguma coisa em relação a essa falha. Amanhã verificarei os patchs. Qualquer novidade, continuem postando. []s Braga Em 8 de fevereiro de 2010 18:30, Rosivaldo Ramalho <rosiva...@gmail.com>escreveu: > > > Amigos, > > Vi algumas notícias sobre uma falha de segurança em banco de dados > Oracle 11g, mas as notícias (aparentemente da mesma fonte) não traziam > informações detalhadas sobre o assunto, e nem como fechar a brecha de > segurança. > > > http://www.computerworld.com/s/article/9151318/Black_Hat_Zero_day_hack_of_Oracle_11g_database_revealed?taxonomyId=1 > > http://www.networkworld.com/news/2010/020310-black-hat-zero-day-hack-oracle.html > > Pelo que deu para tirar das entre-linhas, devemos apenas retirar as > permissões do Java (muito genérico). > > Então pensei, devemos remover o execute da dbms_java ou utilizar a > dbms_java.grant_permission/delete_permission? > > Caso estejam sabendo de algo a mais favor comentar. > > -- > Rosivaldo Azevedo Ramalho > Consultor Oracle Database / Application Server > mail/msn: rosiva...@gmail.com <rosivaldo%40gmail.com> > mobile: +55 83 8893 8281 > Oracle Database 10g Certified Professional > Oracle Application Server 10g Certified Professional > [As partes desta mensagem que não continham texto foram removidas]
