'Onfeilbaar' Oracle toch gekraakt

Verwijderd schrijft: "Larry Ellison, de CEO van Oracle, maakte vorige maand in zijn Comdex toespraak de bewering dat Oracle versie 9i onkraakbaar is. Door een zogenaamde unieke verzameling van maatregelen zou het database pakket absoluut veilig zijn. Niet alleen Larry, die wel vaker van dit soort impulsieve uitspraken doet, maar ook de complete PR-afdeling van Oracle gaat mee in deze bewering.

Ironisch genoeg demonstreerde David Litchfield van NGS Software tijdens een black-hat meeting in Amsterdam hoe makkelijk het is om door middel van buffer overflows administratieve rechten te krijgen. Hij heeft de bugs in het 'onfeilbare' software pakket inmiddels aan Oracle bekend gemaakt, en wacht met verdere publicatie tot Oracle een patch uitbrengt":

Larry ellison, Oracle CEO Larry Ellison, CEO of Oracle, recently revealed a phenomenal aspect of the Oracle architecture that is unique in the world: It is unbreakable! During his keynote address at Comdex, Ellison told the audience that they could "keep their Microsoft Outlook, and we will make it unbreakable; and unbreakable means you can't break it, and you can't break in."

The very same day that Ellison boasted that no one could break into Oracle, David Litchfield of NGSSoftware found several exploitable vulnerabilities in the Oracle 9i Application Server. Ironic, huh? During an impromptu gathering at the recent Blackhat Security Briefings in Amsterdam, I watched him exploit 9iAS to remotely create an administrative user on the server. I also saw examples of unchecked buffers where overflows could be used to run other arbitrary code on the box. By the end of the demonstration, he covered four exploits against 9iAS that could allow an attacker to gain remote root.

Security Focus gaat dieper in op de kwestie in een column van Tim Mullen.

Door Femme Taken

UX Designer

Feedback • 21-12-2001 06:38 57

21-12-2001 • 06:38

57

Bron: Security Focus

Lees meer

Oracle dicht lek in databasesoftware na opduiken proof-of-concept
Oracle dicht lek in databasesoftware na opduiken proof-of-concept Nieuws van 1 mei 2012
Oracle kondigt megabeveiligingspatch aan
Oracle kondigt megabeveiligingspatch aan Nieuws van 17 januari 2011
'Half miljoen databaseservers heeft geen firewall'
'Half miljoen databaseservers heeft geen firewall' Nieuws van 14 november 2007
Microsoft's Steve Ballmer over bugs en errors
Microsoft's Steve Ballmer over bugs en errors Nieuws van 5 oktober 2002
Larry Ellison prijst combinatie van Oracle 9i en Linux
Larry Ellison prijst combinatie van Oracle 9i en Linux Nieuws van 17 augustus 2002
Oracle komt met slechte kwartaalcijfers
Oracle komt met slechte kwartaalcijfers Nieuws van 20 juni 2002
IBM streeft Oracle voorbij als database-marktleider
IBM streeft Oracle voorbij als database-marktleider Nieuws van 8 mei 2002
Oracle en MySQL winnen eWeek database benchmark
Oracle en MySQL winnen eWeek database benchmark Nieuws van 27 februari 2002
Analisten somber over Oracle
Analisten somber over Oracle Nieuws van 14 augustus 2001
Oracle-topman vindt computers saai worden
Oracle-topman vindt computers saai worden Nieuws van 23 februari 2001
Niet goed, geld terug actie bij Oracle
Niet goed, geld terug actie bij Oracle Nieuws van 21 december 2000
Oracle geeft industriele spionage toe
Oracle geeft industriele spionage toe Nieuws van 28 juni 2000
Meer producten en artikelen
Software

Reacties (57)

-Moderatie-faq
57
54
38
14
5
10
Wijzig sortering
CAP-Team 21 december 2001 06:54
Was te verwachten natuurlijk dat men dit zou gaan proberen na een uitspraak van "wij zijn niet te kraken".
Randal Peelen @CAP-Team21 december 2001 09:26
Als het je lukt om een beveiliging te maken waar je zelf nog niet doorheen zou komen dan ben je daar trots op. Je gaat dan dingen zeggen als, "onkraakbaar", je weet in je achterhoofd wel dat men het zal gaan proberen, er niet rekening mee houdend dat het ook binnen de kortste keren lukt. De manier waarop dat is gebeurd is ook wel erg lullig, na de patch die je kunt verwachten zal het wel behoorlijk waterdicht zijn, hopen dat ze er dan de volgende keer wat langer over doen.
Jit @Randal Peelen21 december 2001 11:57
De manier waarop de boel gekraakt is wijst IMO op een zeer stupide, zelfingenomen software afdeling. Als je zo'n uitspraak durft te maken over een stuk software, dan zou je op z'n minst een audit op de source gedaan moeten hebben, al was 't alleen maar om alle bufferoverflows er uit te halen. En dat zijn de meest voorkomende problemen met security. Eigenlijk dus ook nog eens een software afdeling die slecht programmeert.
Netman768 @Jit21 december 2001 12:23
je zou zoiets dus uberhaupt nooit moeten zeggen, je kan nooit zeker weten of iets inderdaad onkraakbaar is. Ik ben van mening dat dat ook nooit het geval is, al was het alleen maar omdat er toch voor de administrator een mogelijkheid moet zijn om in het systeem te komen....

Jammer dat ze dit soort uitspraken doen, en goed dat ze worden teruggefloten, al is de manier waarop wel pijnlijk.

edit:
iets leesbaarder gemaakt
Predator @Jit21 december 2001 14:37
Jit bedoelde dat een buffer overflow de eerste poging om ergens in te breken is en dat ze op dat soort exploits beter hadden kunnen aan debuggen doen en dit vermijden.

Onfeilbaar bestaat eigenlijk maar je kan er wel naar toe streven door zoveel mogelijk bekende algemene exploits eruit te gooien
Slush @CAP-Team21 december 2001 09:49
Was te verwachten natuurlijk dat men dit zou gaan proberen na een uitspraak van "wij zijn niet te kraken".
Dat is wel zo, maar het grappige was natuurlijk dat dat al 'per ongeluk' op dezelfde dag werd getoond... Dus waarschijnlijk wist men nog niets van Ellison's uitspraak!
Verwijderd @CAP-Team21 december 2001 11:20
Oracle is relatief weinig beveiligd, althans in versie 8. Als je daar root-rechten had kon je zonder veel problemen binnenkomen als System, dat is bijna zelfs de bedoeling.

Lekker is dat wanneer je de Unix rechten niet 1 op 1 wilt koppelen aan rechten om de database te veranderen.

Bij Sybase is dat beter geregeld, root heeft evenveel (even weinig eigenlijk) rechten om binnen te komen als een normale sterveling. Alleen met een truc kan het toch, maar dan moet je eerst de dataserver onderuit schoffelen en dat valt wel op.
Scalle-- @CAP-Team21 december 2001 12:32
The very same day that Ellison boasted that no one could break into Oracle, David Litchfield of NGSSoftware found several exploitable vulnerabilities in the Oracle 9i Application Server. Ironic, huh?
beetje beter lezen, het was niet NADAT Ellison dat gezegd had dat ze het vonden maar reeds DEZELFDE dag werd het getoond, dus was al eerder gevonden dan dat :+

edit:
in het vervolg best de replyes ook lezen denk ik :o
Boomrups @CAP-Team23 december 2001 13:04
Misschien is het juist wel heel slim dat ze zo'n uitspraak gedaan hebben, want nu wil iedereen proberen om die software toch te kraken. En nu dat gelukt is, weet Oracle waar de fouten zitten. Een betere diagnostische test is er bijna niet.
Verwijderd 21 december 2001 08:16
Zoiets werkt natuurlijk als een rode lap op een stier. Dat wordt Hackers United, da's logisch.
Al is de code nog zo snel, de hacker achterhaald hem wel.
Voor een tijdje terug stond op webwereld dat de ptt digitale postzegels gaat verkopen en dat systeem zou ook 100% veilig zijn. Ik hou het er op dat er een aantal mensen zijn die gratis kerstkaarten kunnen versturen.
Om iets veilig te maken heb je een complexe codering nodig, maar als je een complexe codering maakt is de kans natuurlijk groter dat er fouten in zitten. Hackers hebben nu eenmaal tijd zat om de zwakke plek te zoeken, terwijl software developers vaak tegen een deadline aanlopen.
Moraal van het verhaal: Zeg niet wat je weet, maar weet wat je zegt.
Verwijderd 21 december 2001 07:39
Voor degenen die niet precies weten wat die Oracle 9i allemaal precies inhoud.
Het is meer dan alleen maar een database, het is nl. een hele suite met diverse onderdelen.

Wellicht een beetje overmoedig van Oracle om een suite met zoveel onderdelen onkraakbaar te noemen, maar een zo'n groot pakket met 'maar' 4 (ontdekte) exploits is nog niet eens zo slecht lijkt me. Als het gefixed is kunnen patches (wat je als Oracle gebruiker gewend bent om regelmatig te gebruiken) die problemen oplossen en is er geen vuiltje aan de lucht. (behalve een L E die weer eens loopt te stunten in een oude oostblok jet)
cappie @Verwijderd21 december 2001 09:06
Maar hoevaak hebben we al niet gezien dat een patch weer andere problemen aan het licht brengt? :)

M'goed.. crap marketing.. typische marketing eigenlijk, sorry ;)
Seven_PRX 21 december 2001 08:05
Yeah rite, on-'kraak'-baar.

Windows (NT/2000/XP) is net zo onkraakbaar als Oracle, alleen is het probleem dat iedereen probeert dit te hacken, daarom denkt iedereen dat Win xx niet veilig is... Zelfde geldt trouwens voor Unix & Linux, ook niet veilig & onkraakbaar, bestaat (helaas?) niet

-7
Onno @Seven_PRX21 december 2001 10:07
alleen is het probleem dat iedereen probeert dit te hacken, daarom denkt iedereen dat Win xx niet veilig is...
Ook al zoeken zoveel meer mensen naar bugs in Windows denk ik toch wel dat je kunt stellen dat sommige producten gewoon minder bugs *hebben* dan Windows. Vergelijk IIS en Apache bijvoorbeeld eens.. de laatste wordt *meer* gebruikt dan IIS, en er wordt ook driftig in naar exploits gezocht.. toch blijft IIS gewoon op een hoger aantal uitkomen. :)
_JGC_ @Onno21 december 2001 12:03
Als je dan ziet dat de apache website gewoon op een alpha van Apache draait...
Budha @Onno21 december 2001 13:56
Da's waar, maar inmiddels zijn we in zeer korte tijd al bij versie 5.1 van IIS terwijl er nog heel veel servers met versie 4 draaien.

Er zijn gewoon veel versies van IIS en men telt de bugs die gevonden worden in IIS bij elkaar op. Da's niet helemaal eerlijk.
Onno @Budha21 december 2001 14:46
Ja en? Apache zit ook niet meer op 1.0 hoor. ;)
Parlor_Inventor @Seven_PRX21 december 2001 08:26
Default-install van OpenBSD komt anders een heel eind hoor....
EfBe @Parlor_Inventor21 december 2001 09:11
Ja duh.. standaard staat alles uit :D. Dus JIJ komt niet zo ver met default OpenBSD install :).
Bubbles @EfBe21 december 2001 10:11
Dan ga je je afvragen waarom het eigenlijk OpenBSD heet. Zou het niet beter ClosedBSD moeten zijn ofzo ;)
raptorix @Parlor_Inventor21 december 2001 10:52
In een huis zonder ramen en deuren en met gepantserde muren kom je ook niet snel in, of het echt functioneel en prettig is is een andere vraag.
Verwijderd 21 december 2001 07:00
Toch wel een moedige zet van Oracle om te zeggen dat het pakket niet te kraken zou zijn. Alleen hoop ik dat ze, nu ze gekraakt zijn, er niet op zo'n spastische manier mee omgaan zoals veel bedrijven doen.
vassago @Verwijderd21 december 2001 07:03
Moedige zet?

Eerder arrogantie en anders een slecht marketing truck.
Fatamorgana @vassago21 december 2001 07:18
Je kunt het ook zien als een goedkope manier om bugs te laten zoeken in je pakket. Hoef je zelf geen groot testteam te hebben, dat laat je gewoon over aan de experts. :)
Verwijderd @Fatamorgana21 december 2001 08:32
Je kunt het ook zien als een goedkope manier om bugs te laten zoeken in je pakket. Hoef je zelf geen groot testteam te hebben, dat laat je gewoon over aan de experts.
Ten koste van een afgang, nadat je met veel bravoure hebt gezegd dat het onkraakbaar is? Lijkt mij nou niet echt een geslaagde marketing.
Bezulba @Fatamorgana21 december 2001 09:16
dadelijk is het geen white hat hacker maar iemand die het gelijk maar even public knowledge maakt... en dan zijn ze dus fucked...

tis niet moedig tis gewoon een domme uitspraak
Verwijderd @Fatamorgana21 december 2001 09:17
Slechte publiciteit is ook publiciteit...

Bovendien, als er razendsnel een goed patch komt hebben ze weinig te verliezen...
Fatamorgana @Fatamorgana21 december 2001 09:27
Ten koste van een afgang, nadat je met veel bravoure hebt gezegd dat het onkraakbaar is? Lijkt mij nou niet echt een geslaagde marketing.
Zo lijkt het wel ja, maar denk eens aan ons aller bekende MicroSoft, hoe vaak zijn die niet op hun bek gegaan met uitspraken, bugs, security leaks etc... En wat gebruikt bijna iedereen? Juist, nog steeds MicroSoft producten. Dus de 'schade' valt wel mee, kan zelfs positief itvallen, want je hebt reclame!
Verwijderd @vassago21 december 2001 11:19
people, relax
zoals JimmyPop al zei:
Als het je lukt om een beveiliging te maken waar je zelf nog niet doorheen zou komen dan ben je daar trots op. Je gaat dan dingen zeggen als, "onkraakbaar".
die kerel is fucking trots op z'n product. en terecht. 't is relatief superveilig, en dan gaat zo'n CEO dat niet verzwijgen. das juist een van de redenen om voor Oracle te kiezen.
Verwijderd 21 december 2001 07:42
hoe makkelijk het is om door middel van buffer overflows administratieve rechten te krijgen

buffer overflows, t zal ook s niet, t lijkt haast wel of niemand hier meer naar kijkt. in veel programma's werden en worden helaas nog steeds ernstige vulnerabilities gevonden dmv buffer overflows.

maar dat dit zelfs het geval zou zijn bij oracle's 9i, had ik niet verwacht. en dat dit zelfs dezelfde dag al bekend was, is helemaal schandalig. Of Larry ging voor de reclame en het goedkope gevarieerde testteam (heeft ook wel z'n voordelen) of hij is gewoon zo arrogant.
webster @Verwijderd21 december 2001 07:55
Larry arrogant? Je kent deze mop toch wel:

Q: What's the difference between God and Larry Ellison?
A: God knows he's not Larry Ellison

:)
PluueeR @webster21 december 2001 09:20
:)
mvdejong 21 december 2001 09:04
Ik vind lekken in een systeem van deze complexiteit onvermijdelijk, maar het risico van buffer-overflow is afdoende bekend en zouden tijdens de bouw moeten worden afgevangen door de programmeurs
En achteraf is dit m.b.v. een syntax-controle op de source terug te vinden (in C-termen : zoeken op functies als "strcpy" i.p.v. "strncpy" enz.).
01001000 @mvdejong21 december 2001 09:31
Helaas werken er nog erg weinig bedrijven met een goede software analyse/design/test fase. De hele industrie is momenteel nog erg amateuristisch (Op deze manier mag je toch ook geen gebouwen neer zetten???) Dus het is niet te verwachten dat we binnenkort van deze problemen af zijn.
(Snelle check van code hier wijst er op dat 6 van de 10 programmeurs niet goed met pointers en buffers om gaan... misschien toch tijd om van C af te stappen en met Java/smalltalk verder te gaan (ok assembly rekent ook met die programmeurs af }> )
Overigens lost een check op strcpy maar een zeer klein deel op, de meeste fouten komen (hier) door maintenance op ingewikkelde code die niet wordt begrepen (of door inhuur krachten die in 2 maanden een systeem moeten doorgronden en herbouwen...)

Laatste . in Amerika wordt code vaak zo moeilijk mogelijk gemaakt om voor 'job security' te zorgen...
Beaves 21 december 2001 09:14
Hij heeft de bugs in het 'onfeilbare' software pakket inmiddels aan Oracle bekend gemaakt, en wacht met verdere publicatie tot Oracle een patch uitbrengt"
En daar mag Oracle heel blij mee zijn, want het is heel aanlokkelijk om deze bug openbaar te maken door de uitspraken van Larry.

Als een of andere vage groep Crackers achter deze bug was gekomen had Oracle veel meer problemen gehad behalve een beschadigd imago, want dan hadden ze de bug nooit openbaar gemaakt en waren ze lekker overal Admin aan het spelen en zo heel veel schade veroorzaken. Dat had Oracle veel geld kunnen kosten aan schadeclaims en aan gemiste verkopen.

Ik vind dit wel leuk, Larry vind ik nou niet echt een leuk persoon (zwak uitgedrukt) en ik vind het altijd leuk als arrogante mensen voor paal worden gezet (en er is geen schade natuurlijk).
Verwijderd 21 december 2001 09:49
In principe is dit alleen maar goed voor Oracle, ook wat betreft publiciteit, want eerst beweren ze onkraakbaar te zijn, en kennelijk zijn ze wat dat betreft wel een heel end, en nu die 'hacker' ze dan ook nog eens netjes heeft doorgegeven waar het zit kan Oracle bij de volgende patch roepen dat alles is opgelost en dan heeft de consument volgens mij ook meer vertrouwen.

edit:

voor een CEO ziet ie er wel cool uit
Trek em een Metallica T-shirt aan en geef em een gitaar :-)
Verwijderd 21 december 2001 10:09
okee als de nieuwe zo makkelijk te hacken is
heeft er dan al iemand nagedacht over
de oudere oracle databases ?

ik ken bedrijven die dat gebruiken die hier
misschien best wel van schrikken..... :(

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq