Sven’s Technik-Blog

Einiges über Oracle, Security, Linux, … und auch über mich

  • Categories

  • Archives

  • Tag Cloud

  • Login
« New Features Oracle 11g: SQL Performance Analyzer
Security Alert: Oracle Database Vault (2) »

Security Alert: Oracle Database Vault

Posted by Sven Vetter on October 3rd, 2007

In den letzten beiden Wochen haben wir sehr intensiv Oracle Database Vault getestet.

Fazit:
Das Konzept ist gut durchdacht. und es sind einige sehr interessante Ideen implementiert.

Trotzdem müssen wir Stand heute vom Einsatz abraten. Es sind zu viele Security Lücken vorhanden, die das Lesen und Ändern von vertraulichen Daten als Datenbank- oder Betriebssystemadministrator zulassen - genau das aber verspricht dieses Produkt zu unterbinden.

So gelingt es z.B. per dynamischen SQL sehr einfach - in 3 unterschiedlichen Varianten - Zugriff auf per Realm geschützte Daten zu erlangen.

Diverse Servicerequests sind offen, secalert ist ebenfalls informiert, wir sind hier in sehr engem Kontakt mit Oracle.
Wir werden wieder berichten, sobald Database Vault aus unsere Sicht Produktionsreife erlangt hat.

Tags: , , ,
This entry was posted on Wednesday, October 3rd, 2007 at 15:17 and is filed under Oracle, Security, Security Alerts, TrivadisContent. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

5 Responses to “Security Alert: Oracle Database Vault”

  1. Sven’s Technik-Blog » Blog Archive » DOAG Regionaltreffen NRW: Vortrag Audit Vault Says:
    October 19th, 2007 at 17:48

    [...] war eigentlich Database Vault, aber aus bekannten Gründen habe ich diesen Vortrag [...]

  2. Sven’s Technik-Blog » Blog Archive » Status Security Alert “Oracle Database Vault” Says:
    October 26th, 2007 at 10:23

    [...] Ein kurzes Update zu unserem Security Alert [...]

  3. Sven’s Technik-Blog » Blog Archive » CPU Januar 2008 - Überraschungen… Says:
    January 30th, 2008 at 13:43

    [...] diesem CPU wurde keiner der von uns gemeldeten Database Vault-Bugs behoben Unsere Empfehlung bleiben also leider [...]

  4. Clemens Scheper Says:
    November 13th, 2008 at 14:40

    Das war die Situation vor einem Jahr. Hat sich inzwischen im Produkt etwas verbessert?

  5. Sven Vetter Says:
    November 14th, 2008 at 11:52

    Hallo Clemens

    Ja ;-)
    siehe diesen Blog-Eintrag.

Leave a Reply

XHTML: You can use these tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

« New Features Oracle 11g: SQL Performance Analyzer
Security Alert: Oracle Database Vault (2) »