Security Alert: Oracle Database Vault
Posted by Sven Vetter on October 3rd, 2007
In den letzten beiden Wochen haben wir sehr intensiv Oracle Database Vault getestet.
Fazit:
Das Konzept ist gut durchdacht. und es sind einige sehr interessante Ideen implementiert.
Trotzdem müssen wir Stand heute vom Einsatz abraten. Es sind zu viele Security Lücken vorhanden, die das Lesen und Ändern von vertraulichen Daten als Datenbank- oder Betriebssystemadministrator zulassen - genau das aber verspricht dieses Produkt zu unterbinden.
So gelingt es z.B. per dynamischen SQL sehr einfach - in 3 unterschiedlichen Varianten - Zugriff auf per Realm geschützte Daten zu erlangen.
Diverse Servicerequests sind offen, secalert ist ebenfalls informiert, wir sind hier in sehr engem Kontakt mit Oracle.
Wir werden wieder berichten, sobald Database Vault aus unsere Sicht Produktionsreife erlangt hat.
October 19th, 2007 at 17:48
[...] war eigentlich Database Vault, aber aus bekannten Gründen habe ich diesen Vortrag [...]
October 26th, 2007 at 10:23
[...] Ein kurzes Update zu unserem Security Alert [...]
January 30th, 2008 at 13:43
[...] diesem CPU wurde keiner der von uns gemeldeten Database Vault-Bugs behoben Unsere Empfehlung bleiben also leider [...]
November 13th, 2008 at 14:40
Das war die Situation vor einem Jahr. Hat sich inzwischen im Produkt etwas verbessert?
November 14th, 2008 at 11:52
Ja
siehe diesen Blog-Eintrag.