Verwijderd schrijft: "Larry Ellison, de CEO van Oracle, maakte vorige maand in zijn Comdex toespraak de bewering dat Oracle versie 9i onkraakbaar is. Door een zogenaamde unieke verzameling van maatregelen zou het database pakket absoluut veilig zijn. Niet alleen Larry, die wel vaker van dit soort impulsieve uitspraken doet, maar ook de complete PR-afdeling van Oracle gaat mee in deze bewering.
Ironisch genoeg demonstreerde David Litchfield van NGS Software tijdens een black-hat meeting in Amsterdam hoe makkelijk het is om door middel van buffer overflows administratieve rechten te krijgen. Hij heeft de bugs in het 'onfeilbare' software pakket inmiddels aan Oracle bekend gemaakt, en wacht met verdere publicatie tot Oracle een patch uitbrengt":
Larry Ellison, CEO of Oracle, recently revealed a phenomenal aspect of the Oracle architecture that is unique in the world: It is unbreakable! During his keynote address at Comdex, Ellison told the audience that they could "keep their Microsoft Outlook, and we will make it unbreakable; and unbreakable means you can't break it, and you can't break in."
The very same day that Ellison boasted that no one could break into Oracle, David Litchfield of NGSSoftware found several exploitable vulnerabilities in the Oracle 9i Application Server. Ironic, huh? During an impromptu gathering at the recent Blackhat Security Briefings in Amsterdam, I watched him exploit 9iAS to remotely create an administrative user on the server. I also saw examples of unchecked buffers where overflows could be used to run other arbitrary code on the box. By the end of the demonstration, he covered four exploits against 9iAS that could allow an attacker to gain remote root.
Security Focus gaat dieper in op de kwestie in een column van Tim Mullen.