Sven’s Technik-Blog

Einiges über Oracle, Security, Linux, … und auch über mich

  • Categories

  • Archives

  • Tag Cloud

  • Login
« Security Alert: Oracle Database Vault
Urlaub… »

Security Alert: Oracle Database Vault (2)

Posted by Sven Vetter on October 5th, 2007

Nachdem ich in den Blogs von Markus und Alex zitiert und korrigiert ;-) werde, noch eine genauere Darstellung zu dieser Aussage:

"Es sind zu viele Security Lücken vorhanden, die das Lesen und Ändern von vertraulichen Daten als Datenbank- oder Betriebssystemadministrator zulassen"

Natürlich ist mir klar, dass Database Vault allein kaum Schutz vor einem OS-Administrator bietet - und das verkauft Oracle auch nicht so.
Aber Database Vault soll dabei unterstützen. Z.B. ist per Default keine Anmeldung als SYSDBA und (je nach Version und Patchlevel :-( ) keine OS authentication (also ein "connect / as sysdba") mehr möglich, also auch root/oracle müssen sich mit Usernamen und Passwort anmelden.

Dies darf aber nicht als alleiniger Schutz benutzt werden, da der Software-Owner Database Vault ausschalten kann (auch hier gibt es ein paar Security-Holes). Ausserdem kann er die Anmeldung als SYSDBA wieder zulassen. Beides kann aber wiederum auf OS-Ebene überwacht werden.

Auch aus meiner Sicht ist sehr viel Wissen notwendig, um dieses Produkt sicher einzuführen.

Tags: , , ,

This entry was posted on Friday, October 5th, 2007 at 09:30 and is filed under Oracle, Security, Security Alerts, TrivadisContent. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

Leave a Reply

XHTML: You can use these tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

« Security Alert: Oracle Database Vault
Urlaub… »