一位知名的安全研究人员前日展示了如何利用零日攻击攻破甲骨文11g数据库的安全防护,并从获得完全的控制权。
NGS咨询的研究员DavidLitchfield演示了黑客如何突破安全防御以特权接管甲骨文11g的完全控制权限,并阐述了如何绕过甲骨文标签安全设 置对信息的强制访问控制权。与此同时,Litchfield也宣布,这是他在NGS任职的最后一天,他正在考虑将自己的研究重心转向计算机取证方面。
作为安全领域内的一名资深人士,Litchfield称:“当从听说了甲骨文的首席执行官埃里森吹嘘他的数据库‘牢不可破’后,我感到很不快。”Litchfield表示,他与甲骨文关系交恶已经有很长一段时间了。
Litchfield的最新报告显示,由于Java已可在甲骨文11g第2版中执行的原因,导致数据库中存在一个过度纵容的默认授权,这使一个低权限用户可以自己随意修改授予权限。在演示的甲骨文11g企业版中,Litchfield演示了如何执行,导致自己的用户授予系统权限命令得到“对数据库的完全控制。”Litchfield也显示了如何能够绕过甲骨文标签安全用于管理强制访问在不同安全级别的信息的手段。
Litchfield建议,在甲骨文修补他展示的零日攻击漏洞之前,甲骨文11g的管理员们撤回对基于Java的特定功能的一些公共访问权限。他表示,他预计甲骨文马上就会发布针对性的修补程序,而他也打算针对此漏洞公布自己的报告。
Litchfield说,他认为对目前版本的数据库,甲骨文完全可以得到“B+”的安全成绩,虽然Litchfield对于新版数据库的改进给予了肯定,但是他也批评甲骨文在设计和修改产品的阶段没有发现这些问题。Litchfield指出,甲骨文在自己的产品交付后似乎过于依赖安全工具来查找问题。
据国外媒体报道,欧洲软件业巨头SAP周三向法院提交的文件显示,该公司请求法院大幅减少其向甲骨文支付的赔偿金,具体金额不能超过4.087亿美元。甲骨文于2007年将SAP告上法庭,指控SAP子公司TomorrowNow非法下载甲骨文软件,逃避软件授权费并夺取甲骨文客户。去年11月,美国加州 奥克兰联邦法院陪审团做出裁决,要求SAP就侵犯甲骨文知识产权一案向甲骨文支付13亿美元。SAP同意承担该子公司侵犯专利的法律责任,但认为赔偿金额 不合理,SAP的赔偿金额不能超过4000万美元。
在本周三提交给奥克兰联邦法院的文件中,SAP表示,13亿美元的赔偿金额违背了相关版权法,而且建立在“纯粹的”猜测基础之上。SAP律师称:“这是无法成立的。”甲骨文代表尚未对此发表评论。
SAP 请求奥克兰联邦法院法官菲利斯·汉密尔顿(Phyllis Hamilton)采用不同的计算方法,大幅削减赔偿金额。在审判时,SAP的专家估算出来的赔偿金额为2800万美元,而甲骨文专家的估算结果则是 4.087亿美元。由于判决结果不能接受,SAP请求汉密尔顿法官重新进行审判。
持续三周的上次审判吸引了整个硅谷的关注,出庭作证的包括甲骨文首席执行官拉里·埃里森(Larry Ellison)和总裁萨夫拉·卡茨(Safra Catz)。SAP的律师称埃里森“凭空捏造”赔偿金额。SAP联席首席执行官比尔·麦克德莫特也出席了上次审判,并就子公司TomorrowNow侵权一事向甲骨文做出道歉。
审判期间,甲骨文称前SAP首席执行官、现任惠普首席执行官李艾科(Leo Apotheker)也参与了TomorrowNow的运营,但没有提供李艾科对侵权知情的相关证据。
关于SAP提交的减少赔偿金额的请求,法院计划在今年7月份召开听证会。
富士通和甲骨文近日宣布,双方将加强数十年的伙伴关系,包括基于SPARC处理器的共同开发、新的产品分销协议的签订,并在技术、市场和销售推广方面进一步深入合作。
甲骨文公司首席执行官Larry Ellison表示:“甲骨文与富士通的伙伴关系从来没有像现在这样如此强大。我们与富士通的合作正步入一个全新的阶段,我们双方将通过共同的设计和全球的分销力量,致力于为客户带来高性能、高可靠性的系统。”
双方的合作将在如下方面展开:
甲骨文和富士通将继续加强技术领域的合作,确保Oracle和富士通产品得以进行优化和测试,成为在关键任务环境中运行Oracle软件的最优平台。
2010年12月2日,富士通和甲骨文发布了针对 SPARC Enterprise M系列服务器的包含两家公司徽标的统一机箱设计。甲骨文和富士通也公布了M系列服务器未来发展规划,计划在三年内将性能提升15倍。双方新的合作将确保这些里程碑的顺利实现。
未来,甲骨文和富士通的销售团队将携手共同销售SPARC Enterprise 服务器。此举将在确保业务持续性的同时,不断提升客户满意度。
此外,富士通还签署了一份全新的“甲骨文合作伙伴网络”分销协议。
甲骨文发布了该公司的第一款数据库防火墙,该产品的能够保护有价值的系统免受攻击和骚扰。自从去年甲骨文收购Secerno之后,该公司一直在进行数据库防火墙(Database Firewall)使用技术的开发。该产品能够实时监控非授权侵入、SQL攻击。
甲骨文数据库安全部门副总裁瑞平萨马表示,数据库威胁的不断变化要求企业采用新的安全解决方案。
甲骨文(Database Firewall)数据库防火墙能够为公司客户提供第一道安全防线,它能够阻止来自内部和外部的数据库攻击。并且该产品易于部署和管理,在不需改变现存应用和数据库的状态下降低成本和复杂化企业数据安全。
该防火墙使用了一项叫SQL语法分析技术,通过监视和辨识数以百万计的语句来识别非正常的行为。同时该系统还使用黑名单和白名单来最小化威胁。该防火墙能够配置甲骨文Database 11g以及以下、运行Linux, Unix和 Windows的IBM DB2、微软SQL Server 2000, 2005 和2008 及Sybase。