Skip to content
 

Security Alert: Oracle Database Vault

In den letzten beiden Wochen haben wir sehr intensiv Oracle Database Vault getestet.

Fazit:
Das Konzept ist gut durchdacht. und es sind einige sehr interessante Ideen implementiert.

Trotzdem müssen wir Stand heute vom Einsatz abraten. Es sind zu viele Security Lücken vorhanden, die das Lesen und Ändern von vertraulichen Daten als Datenbank- oder Betriebssystemadministrator zulassen – genau das aber verspricht dieses Produkt zu unterbinden.

So gelingt es z.B. per dynamischen SQL sehr einfach – in 3 unterschiedlichen Varianten – Zugriff auf per Realm geschützte Daten zu erlangen.

Diverse Servicerequests sind offen, secalert ist ebenfalls informiert, wir sind hier in sehr engem Kontakt mit Oracle.
Wir werden wieder berichten, sobald Database Vault aus unsere Sicht Produktionsreife erlangt hat.

5 Comments

  1. […] war eigentlich Database Vault, aber aus bekannten Gründen habe ich diesen Vortrag […]

  2. […] diesem CPU wurde keiner der von uns gemeldeten Database Vault-Bugs behoben Unsere Empfehlung bleiben also leider […]

  3. Clemens Scheper says:

    Das war die Situation vor einem Jahr. Hat sich inzwischen im Produkt etwas verbessert?

  4. Sven Vetter says:

    Hallo Clemens

    Ja ;-)
    siehe diesen Blog-Eintrag.

Leave a Reply