Der Sicherheitsexperte László Tóth hat auf der diesjährigen Hacktivity-Konferenz in Budapest ein Verfahren gezeigt, mit dem sich die Auditing-Funktionen und die Authentifizierung in allen Versionen von Oracles Datenbank lahmlegen lassen sollen. Er nutzt dazu den undokumentierten, aber bei jeder Oracle-Installation vorhandenen Befehl oradebug. Das Auditing soll Datenbankaktionen zuverlässig protokollieren, sodass sich Manipulationen zurückverfolgen lassen.

Unter anderem kennt oradebug den bereits vor Jahrzehnten in Basic zum Ändern von Speicherinhalten benutzten Befehl Poke. Laut Tóth lässt sich damit das Auditing für System-Benutzer mit Privilegien wie SYSDBA und SYSOPER abstellen. Voraussetzung sei lediglich das SYSDBA-Privileg, damit der Angreifer oradebug ausführen könne. Das zeigt Tóths Präsentation auch.

Deshalb hält der Oracle-Sicherheitsexperte Alexander Kornbrust Produkte wie Oracle Audit Vault, die auf den Auditing-Funktionen der Datenbank aufsetzen und laut Eigenwerbung auch die Aktionen privilegierter Benutzer protokollieren sollen, für fast nutzlos. Ein SYSDBA- oder SYSOPER-Nutzer könne das Auditing kurz abschalten um einige Operationen durchzuführen und es dann wieder aktivieren.

(ez, hannover)

(siehe auch Heise News-Ticker :)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE