Sven's Technik-Blog » Security Alerts

Status (3) Security Alert “Oracle Database Vault”

Sven Vetter — Thu, 28 Feb 2008 20:17:30 +0000

Wir haben das Patchset 10.2.0.4 auf einer Database Vault Datenbank getestet.

Obwohl in der Liste der Bugfixes kein Database Vault Bug erscheint, wurden zwei meiner kritischsten Bugs behoben
Einer ist noch offen - aber dieser ist wesentlich schwieriger (und nur als SYS) auszunutzen.

Da die OS Authentication für SYSDBAs wieder gesperrt ist, kann ich nun den Einsatz von Database Vault mit dem Patchset 10.2.0.4 empfehlen.

Trotzdem braucht es viel Datenbank- und Security-Wissen, um eine sichere Installation zu gewährleisten...

Status (2) Security Alert “Oracle Database Vault”

Sven Vetter — Thu, 31 Jan 2008 19:40:10 +0000

Nachdem im CPU Januar 2008 unsere gemeldeten Bugs nicht behoben wurden, habe ich heute von Oracle eine neue Antwort bekommen:

Die Bugs sind gefixt in 10.2.0.4 und 11.1.0.7 - und vielleicht auch in einen späteren CPU für ältere Versionen.
Also - warten wir weiter ab...

Status Security Alert “Oracle Database Vault”

Sven Vetter — Fri, 26 Oct 2007 08:23:29 +0000

Ein kurzes Update zu unserem Security Alert:

Oracle informierte uns, dass drei unserer kritischsten Security Holes im Main Code behoben sind. Die Fixes sollen im nächsten CPU (Januar 2008) enthalten sein.
Wir bemühen uns, einen Vorab-Patch zu bekommen für die Kunden, die Database Vault schon produktiv im Einsatz haben.

Andere Probleme sind noch "Under investigation".

Security Alert: Oracle Database Vault (2)

Sven Vetter — Fri, 05 Oct 2007 07:30:35 +0000

Nachdem ich in den Blogs von Markus und Alex zitiert und korrigiert werde, noch eine genauere Darstellung zu dieser Aussage:

"Es sind zu viele Security Lücken vorhanden, die das Lesen und Ändern von vertraulichen Daten als Datenbank- oder Betriebssystemadministrator zulassen"

Natürlich ist mir klar, dass Database Vault allein kaum Schutz vor einem OS-Administrator bietet - und das verkauft Oracle auch nicht so.
Aber Database Vault soll dabei unterstützen. Z.B. ist per Default keine Anmeldung als SYSDBA und (je nach Version und Patchlevel ) keine OS authentication (also ein "connect / as sysdba") mehr möglich, also auch root/oracle müssen sich mit Usernamen und Passwort anmelden.

Dies darf aber nicht als alleiniger Schutz benutzt werden, da der Software-Owner Database Vault ausschalten kann (auch hier gibt es ein paar Security-Holes). Ausserdem kann er die Anmeldung als SYSDBA wieder zulassen. Beides kann aber wiederum auf OS-Ebene überwacht werden.

Auch aus meiner Sicht ist sehr viel Wissen notwendig, um dieses Produkt sicher einzuführen.

Security Alert: Oracle Database Vault

Sven Vetter — Wed, 03 Oct 2007 13:17:36 +0000

In den letzten beiden Wochen haben wir sehr intensiv Oracle Database Vault getestet.

Fazit:
Das Konzept ist gut durchdacht. und es sind einige sehr interessante Ideen implementiert.

Trotzdem müssen wir Stand heute vom Einsatz abraten. Es sind zu viele Security Lücken vorhanden, die das Lesen und Ändern von vertraulichen Daten als Datenbank- oder Betriebssystemadministrator zulassen - genau das aber verspricht dieses Produkt zu unterbinden.

So gelingt es z.B. per dynamischen SQL sehr einfach - in 3 unterschiedlichen Varianten - Zugriff auf per Realm geschützte Daten zu erlangen.

Diverse Servicerequests sind offen, secalert ist ebenfalls informiert, wir sind hier in sehr engem Kontakt mit Oracle.
Wir werden wieder berichten, sobald Database Vault aus unsere Sicht Produktionsreife erlangt hat.