David Litchfield, un experto de seguridad informática
que ya ha reportado anteriormente docenas de vulnerabilidades en varios
productos de Oracle, ha detectado una nueva vulnerabilidad en este módulo que
permite a un pirata informático explotar la base de datos y acceder a los datos
“protegidos” en pocos segundos y sin la necesidad de utilizar un exploit para
ello.
Oracle Data Redaction es una nueva función que la
compañía ha incluido en su herramienta Oracle Database 12c. Este servicio está
destinado a que los diferentes administradores puedan proteger fácilmente los
datos más sensibles de sus bases de datos (información bancaria, por ejemplo)
sin impedir al usuario hacer uso de ella en cualquier momento.
Mediante una serie de fallos de programación, el
investigador de seguridad consiguió que la base de datos le devolviera una
lista de supuestos datos protegidos sin la necesidad de utilizar ninguna
aplicación maliciosa ni ningún exploit para ello. Mediante el uso del método
RETURNING INTO, este investigador consiguió engañar a la base de datos y envió
una petición haciéndose pasar por otro módulo interno de este software
consiguiendo obtener como respuesta los datos que él quisiera, entre ellos, los
supuestos datos protegidos de la base de datos.
Pese a esto, el nuevo módulo Oracle Data Protection es
una excelente herramienta que ayuda a proteger los datos más sensibles que los
usuarios introducen en Internet, permite utilizarlos sin peligro a ser
secuestrados y, cuando se solucionen estas vulnerabilidades, permitirá a los
administradores web proteger bastante mejor los datos más críticos de los
usuarios. En los próximos días los expertos de seguridad solucionarán esta
vulnerabilidad junto a los otros pequeños errores de programación que han permitido
que el investigador de seguridad descubriera esta vulnerabilidad en el módulo
de protección de datos de la compañía.
Fuente: The Hacker News