LINUX.ORG.RU

Oracle: пользователь с правами только для чтения может изменять данные через view


0

0

6 апреля был найден очередной баг в Oracle БД. Подвержены все современные версии (9.2.0.0 - 10.2.0.3) на любых платформах. От Oracle на данный момент нет никаких патчей.

>>> Подробности

anonymous

Проверено: ivlad ()

А где эксплоит?

anonymous
()

ну риск то не велик, пользователь не просто read only права должен иметь, но еще и на создание view, а такие права имеют только разработчики, да и то не на продакшене ...

anonymous
()

Чего-то я не понял, дыры в оракле находят очень часто, а в новостях я их не видел или теперь на ЛОРе публикуют багтрак оракла?

Kalashmat
()

всё, блин, тушите свет... сколько лет эта дыра просуществовала! :)

kes
()

Привет из от индийских кодеров :)

А вот в FoxPro такого нет... =)))

anonymous
()

Интересная, но давно известная и не очень то и опасная штука. На "UPDATE VIEW" тоже права надо иметь.

anonymous
()
Ответ на: комментарий от anonymous

anonymous-у это уже давно известно, а вся мировая общественность узнала об этом только недавно...

Если есть право "CREATE VIEW", то отдельного права на апдейт собственного VIEW иметь не надо.

anonymous
()
Ответ на: комментарий от anonymous

Ну, это да :-) Но кого хрена давать права на create view юзеру, у которого право только на чтение? Да и вообще view создавать должны разработчики на этапе проектирования системы, а не пользователи. Хотя...

anonymous
()

дайте эксплойт!! пойду ломать какой-нибудь банк на благо человесчечста

anonymous
()

и правильно.. 8i тормозное старое глюкалово

anonymous
()
Ответ на: комментарий от MaratIK

Да я так смотрю что 9/10 тоже не поддерживается, по потому как они кинулись исправлять дырки.

anonymous
()

Следом за этой надо написать открытое письмо с негодованием Open Source сообщества относительно того, что Oracle больше не поддерживает свои продукты. Как так, дырка вышла, а латка запоздала?

Кстати, каким макаром эта новость относится к OpenSource, Linux? Когда в Windows обнаруживается дырка, сюда тоже новости постят? А почему? Потому что Windows работает в Linux под VMWare?

anonymous
()
Ответ на: комментарий от anonymous

> oracle уже не поддерживает 8i и патчи к багам больше не выпускает

Неправда. В последнем Jan 2006 CPU были исправления для 8.1.7.4. Только, на сколько я помню, там уже только sequrity фиксы.

anonymous
()
Ответ на: комментарий от anonymous

> Использую SQLite :)

Поздравляю. Жаль, что мы не можем, т.к. нужна масштабируемость до 1000 пользователей и сотен GB данных. И это не придел.

anonymous
()
Ответ на: комментарий от anonymous

>Ну, это да :-) Но кого хрена давать права на create view юзеру, у которого право только на чтение? Да и вообще view создавать должны разработчики на этапе проектирования системы, а не пользователи. Хотя...

Вот именно, хотя... Базы бывают разные, очень большие и сложные. Иногда из них умные манагеры (аналитиками кличут) данные выбирают согласно своим жутким запросам, которые придумают. А вот с паролями они могут не особенно дружить. И вьюшки им разрешают создавать. А тут такая проруха ... :-)

sur02111976
()
Ответ на: комментарий от anonymous

> оракелу это похрену на хостинги их всё равно не ставят

ты что сказать хотел-то? какие хостинги?

anonymous
()
Ответ на: комментарий от anonymous

Вот и анонимус задумался - какие хостинги на оракле? :)

anonymous
()
Ответ на: комментарий от anonymous

Нафиг эксплоит, когда все равно все ручками надо делать? ;) Там же, по ссылке, есть целых 2 (ДВА) примера - как эту багу пользовать.

anonymous
()
Ответ на: комментарий от anonymous

А что там понимать? Подсоединяешся к базе, создаешь вью, и удаляешь из него все записи. Осталось только найти, кто тебе даст подсоединиться к базе, да еще и права на создание view. :)

alt-x ★★★★★
()
Ответ на: комментарий от alt-x

Не всё так просто. Этот VIEW нужно создать особым способом. Вот каким способом -- это пока непонятно. Поэтому вопрос про эксплоит (пример) пока остаётся открытым.

anonymous
()

Дайте мне эксплойт!! Хочу нашего админа ПОДКОЛОТЬ!! ;)

//goblen

anonymous
()
Ответ на: комментарий от alt-x

dbsnmp - эт типа пользователь, который имеетса после установки оракла, так что не надо никакаких пользователей у него пароль такой же как и имя ... ;)

А вот полная строка SQL> create or replace view e as select [...censored...] ;) или вот эта

create view del_view as [censored] ^^^^^^^^^ select * from del_view; очень даже сгодилась бы ;)

murick
()
Ответ на: комментарий от anonymous

А, я это пропустил. А что тупой селект из таблицы не прокатывает? Тогда это - интересный баг. Удивительно, что его нашли.

alt-x ★★★★★
()
Ответ на: комментарий от alt-x

alt-x, ты извини меня, но тебе уже три раза сказали, что запрос во view должен быть особый, а не любой. А какой -- это пока непонятно.

Самое интересное, что cудя из представленного отчёта, какое-то время эксплоит был опубликован на Metalink'e (support-сайт Оракла). И только после того, когда им сказали, что мол нехорошо такое в открытом виде публиковать, они убрали это.

anonymous
()
Ответ на: комментарий от murick

HotSpot есть с версии 1.2

ПОЧЕМУ ОНА, ГАДИНА, ТАКАЯ ТОРМОЗНАЯ???????

Остров

anonymous
()
Ответ на: комментарий от murick

Нормальный админ лочит всех этих dbsnmp. Судя по всему также требуется наличие SELECT ANY DICTIONARY. Нормальный админ никому таких привелегий в жизни не даст на продакшен БД. Сосите лапу...

anonymous
()
Ответ на: комментарий от anonymous

> требуется наличие SELECT ANY DICTIONARY. Нормальный админ никому таких
> привелегий в жизни не даст на продакшен БД. Сосите лапу...

"SELECT ANY DICTIONARY" не требуется. Требуется только CREATE VIEW, SELECT, ну и логин в базу.

Проблема в том, что у многих конечных пользователь есть все эти права.

anonymous
()
Ответ на: комментарий от anonymous

А вот и эксплоит:

create view del_view as
select a.id from tableowner.t1 a
left outer join tableowner.t1 b
on b.id=a.id;

Уже попробовал, всё работает!

anonymous
()
Ответ на: комментарий от anonymous

в серъезной базе, допустим банка, это всё не пройдет. пароли лежат в файле на фс, + все подобные действия неприменно упадут в аудит

anonymous
()
Ответ на: комментарий от anonymous

Аудит только сможет констатировать, что с такого-то эккаута было сделано то-то. А денюжки-то уже тю-тю. Кто их возвращать-то будет. Так что, это не панацея.

А про пароли и фс я вообще не понял...

anonymous
()
Ответ на: комментарий от anonymous

>в серъезной базе, допустим банка, это всё не пройдет. пароли лежат в файле на фс, + все подобные действия неприменно упадут в аудит

да только, как правило, в этом файле пароли лежат открытым текстом в 99% случаев. А от аудита типа "dhcp192-1-1-1.coolbank.ru created view" - толка тоже мало. Впрочем, при прямых руках админов и программеров, эта дырка вообще никакой опасности не представляет.

alt-x ★★★★★
()
Ответ на: комментарий от Lumi

Запрос, который отображает пользователей с правом "CREATE VIEW":

-- # Select schemas with VIEW
select distinct owner from all_objects where object_type='VIEW'
union
-- # Users with 'CREATE VIEW' in role
select distinct grantee from sys.dba_role_privs
where granted_role in (select grantee from sys.dba_sys_privs where privilege = 'CREATE VIEW')
union
-- # Users with 'CREATE VIEW' privilege
select grantee from sys.dba_sys_privs where privilege = 'CREATE VIEW'
and grantee not in (select role from sys.dba_roles)
-- # Minus system users
minus
select username from sys.dba_users where username in ('SYSTEM','SYS','WMSYS','OUTLN','DBSNMP')
/

anonymous
()
Ответ на: комментарий от anonymous

>> Использую SQLite :) >Поздравляю. Жаль, что мы не можем, т.к. нужна масштабируемость до >1000 пользователей и сотен GB данных. И это не придел.

На обычном писюке у вас такого не получится, следовательно, должно быть крутое железо. А далее - ставим туда на выбор TERRADATA, IBM DB2, а может быть и PostgreSQL/EnterpriseDB (не зря дефолтом идет с SUN-техникой). И не надоговорить, что постгрес не потянет - я уверен, что вы с ним не работали.

anonymous
()
Ответ на: комментарий от anonymous

Просто я не понимаю, откуда такая паства у Оракла.

anonymous
()
Ответ на: комментарий от anonymous

> И не надоговорить, что постгрес не потянет - я уверен, что вы с ним не работали.

Поверте, работали и даже оценили. Но всё же это ещё новинка в мире корпаративных вендоров. Многие приложения уже заточены под Оракл и ничего тут не поделаешь. Работать нужно сегодня, а не ждать, когда это всё заработает под Постгресом.

Да и если быть объективным, то ой как много Пострес проигрывает по функциональности Ораклу. Достаточно посмотреть список фич, которые поддерживаются в Enterprise версии. Так что, просто взять и перенести всю инфраструктуру БД в EnterpriseDB не получится.

anonymous
()

а на mysql много банков работает? я бы такой открыл гобол

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.