itonebr
Mon, 08 Feb 2010 16:36:08 -0800
Este patch foi para o weblogic e não para o banco Atc Alessandro Guimaraes --- Em oracle_br@yahoogrupos.com.br, Marcos Braga <braga.mar...@...> escreveu > > Oi Pessoal, > > Efetuei testes utilizando as falhas mencionadas e o resultado é assustador: > de um usuário comum, apenas com permissão de CREATE SESSION é possível > conseguir a role de DBA em apenas 3 comandos no sqlplus. > > Há pouco recebi um email da Oracle sobre atualização de segurança > Fevereiro/2010, ainda não olhei as atualizações, mas creio que devem ter > alguma coisa em relação a essa falha. > > Amanhã verificarei os patchs. > > Qualquer novidade, continuem postando. > > []s > Braga > > > Em 8 de fevereiro de 2010 18:30, Rosivaldo Ramalho > <rosiva...@...>escreveu: > > > > > > > Amigos, > > > > Vi algumas notícias sobre uma falha de segurança em banco de dados > > Oracle 11g, mas as notícias (aparentemente da mesma fonte) não traziam > > informações detalhadas sobre o assunto, e nem como fechar a brecha de > > segurança. > > > > > > http://www.computerworld.com/s/article/9151318/Black_Hat_Zero_day_hack_of_Oracle_11g_database_revealed?taxonomyId=1 > > > > http://www.networkworld.com/news/2010/020310-black-hat-zero-day-hack-oracle.html > > > > Pelo que deu para tirar das entre-linhas, devemos apenas retirar as > > permissões do Java (muito genérico). > > > > Então pensei, devemos remover o execute da dbms_java ou utilizar a > > dbms_java.grant_permission/delete_permission? > > > > Caso estejam sabendo de algo a mais favor comentar. > > > > -- > > Rosivaldo Azevedo Ramalho > > Consultor Oracle Database / Application Server > > mail/msn: rosiva...@... <rosivaldo%40gmail.com> > > mobile: +55 83 8893 8281 > > Oracle Database 10g Certified Professional > > Oracle Application Server 10g Certified Professional > > > > > [As partes desta mensagem que não continham texto foram removidas] >