Security Alert: Oracle Database Vault (2)
Posted by Sven Vetter on October 5th, 2007
Nachdem ich in den Blogs von Markus und Alex zitiert und korrigiert 
werde, noch eine genauere Darstellung zu dieser Aussage:
"Es sind zu viele Security Lücken vorhanden, die das Lesen und Ändern von vertraulichen Daten als Datenbank- oder Betriebssystemadministrator zulassen"
Natürlich ist mir klar, dass Database Vault allein kaum Schutz vor einem OS-Administrator bietet - und das verkauft Oracle auch nicht so.
Aber Database Vault soll dabei unterstützen. Z.B. ist per Default keine Anmeldung als SYSDBA und (je nach Version und Patchlevel 
) keine OS authentication (also ein "connect / as sysdba") mehr möglich, also auch root/oracle müssen sich mit Usernamen und Passwort anmelden.
Dies darf aber nicht als alleiniger Schutz benutzt werden, da der Software-Owner Database Vault ausschalten kann (auch hier gibt es ein paar Security-Holes). Ausserdem kann er die Anmeldung als SYSDBA wieder zulassen. Beides kann aber wiederum auf OS-Ebene überwacht werden.
Auch aus meiner Sicht ist sehr viel Wissen notwendig, um dieses Produkt sicher einzuführen.