'데이타베이스'에 해당되는 글 68건

  1. 2012.05.04 Oracle 데이터베이스 신규 취약점 주의
  2. 2012.05.02 주요 DB접근제어 솔루션
  3. 2011.10.24 xSQLScanner 1.2 and Mono Version
2012.05.04 18:13

Oracle 데이터베이스 신규 취약점 주의

개요

  • 2012년 5월 1일, Oracle사는 Oracle 데이터베이스의 TNS listener 취약점에 대한 임시 조치 권고 발표[1]
    4월에 발표된 April 2012 Critical Patch Update를 통해 패치 되지 아니한 취약점에 대해 개념증명코드(PoC)가 공개되어 패치 전에 취할 수 있는 조치에 대한 보안권고


설명

  • TNS listener와 관련된 취약점으로 원격에서 사용자 인증 없이 데이터베이스로의 연결을 엿보거나 임의의 명령어 실행이 가능한 취약점
    ※ TNS(Transparent Network Substrate) : Oracle에서 개발한 기술로 서로 다른 Network 구성을 가지고 있는 Client/Server 또는 Server/Server 간에도 Data의 전송을 가능하게 해주는 Network 기술


해당 소프트웨어

  • Oracle Database 11g Release 2, versions 11.2.0.2, 11.2.0.3
  • Oracle Database 11g Release 1, version 11.1.0.7
  • Oracle Database 10g Release 2, versions 10.2.0.3, 10.2.0.4, 10.2.0.5


임시 조치 방안

  • Real Application Clusters(RAC) 사용자는 My Oracle Support Note 1340831.1 참고 [2]
    ※  RAC(Real Application Clusters) : Oracle 데이터베이스 환경에서 클러스터링과 고가용성 기능을 가능케 하는 추가 기능
  • Real Application Clusters(RAC) 비사용자는 My Oracle Support Note 1453883.1 참고 [3]
  • 상기 문서를 검토하고 벤더사 및 유지보수업체와 협의/검토 후 조치 요망


기타 문의사항

  • 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

[참고사이트]
[1] http://www.oracle.com/technetwork/topics/security/alert-cve-2012-1675-1608180.html
[2] https://support.oracle.com/CSP/main/article?cmd=show&type=NOT&id=1340831.1
[3] https://support.oracle.com/CSP/main/article?cmd=show&type=NOT&id=1453883.1

저작자 표시
신고

Trackback 0 Comment 0
2012.05.02 14:12

주요 DB접근제어 솔루션


업체명

(가나다순.)

                 솔루션 

 

주요 특징 및 장점

모니터랩

DB인사이트 SG 

 

-데이터베이스 성능에 영향을 미치지 않고 기본 인프라

 환경의 변경 없음

-IP, DB 접근 사용자, 접근 시간대별로 제어가 가능

-IP그룹 지정 및 DB 접근 사용자 그룹 지정을 통한 접

 근제어 가능

-저장 및 분석 DB에 접근하는 모든 SQL 쿼리 저장·차

 단·탐지로그 저장, 감사로그 분석 수행

소만사

DB-i 

 

-개인정보보호법에 규정한 개인정보의 안전성 확보조

 치 기준에 맞춘 개인정보 접근, 저장, 전송 최소화

-접근통제, 접근차단 및 이상징후 탐지, 전송 시 암호

 화, 접속기록 위·변조방지보관 기능

-DB 내 개인정보가 엔드포인트에 무단 저장되는 것을

 막는 기능

신시웨이

                페트라 

 

-스니핑(Sniffing), 게이트웨이, 에이전트 방식 지원

-고객의 업무환경에 따라 단일형 또는 혼합형으로 제공

-‘SOHA’라는 자체 개발한 메인 메모리 DBMS를 리포

 지토리(Repository) DBMS로 사용해 신속한 규칙 적

 용과 로그저장이 가능

 

STG

시큐리티

         ToFAZ X 

 

-DB에 대한 접근을 실시간으로 감시·통제하며 모든 작

 업활동을 기록·보관해 사후 감사자료를 제공

-사용자 IP Address 및 접속 어플리케이션, 날짜·시간

 등의 조건으로 DB접근 통제

-사용자 DB 작업내역을 실시간 모니터링 하는 감사 기

 능 등을 제공

-자체 개발한 아메바트리(ameba tree)엔진과 메모리

 DB를 적용하여 중·대형 시스템에도 성능과 안정성 보장

웨어밸리

샤크라 맥스

-대용량 DB에 대한 접근제어 및 감사기능 동시에 지원 

-DB에 직접 접근하는 사용자에 대한 접근제어, 서비스적

 인 접근에 대해서도 성능 부하 없이 로깅 및 위험도에 대

 한 감사기록 지원

-뛰어난 SQL 처리 성능을 바탕으로 접근 통제, 감사 기록

 을 통한 개인정보보호 수행

 

이니텍

 

 

  SeNeapp

-시스템 접근제어와 계정관리, 감사 기능을 결합한 ‘통합 계정 및 접근 제어 솔루션’

- 일체형 장비(Appliance)로 빠른 구축과 유지보수 편리

-Agent 설치 필요 없고 운영체제(OS)와 데이터베이스(DB)동시 지원

-TP(Transparent)모드 지원으로, 네트워크 및 타 장비에 완전히 투명하게 작동

- 기존 인프라 환경 변경하지 않고 사용 가능

 

피앤피

시큐어

DB세이퍼

-가상계정, 사용자 IP, 애플리케이션 등 주제별로 다양한

 정보 동시에 접근제어

-구문에 대한 통제가 가능하며 명령어로 인한 DB의 부하

  를 증가시키는 행위에 대해서도 제어

-지정된 시간이 지나도록 DB서버에서 사용자에게 요청

 값을 통보하지 못할 경우 해당 사용자 세션 강제로 중단 

-사용자별, 접속세션별 접속 이력을 실시간으로 모니터링

 및 감시대상 DB로 요청되는 초당 SQL요청수, 초당 평균

 응답시간, 데이터 조회 건수 등을 실시간 제공

 



출처 : 보안뉴스

저작자 표시
신고

Trackback 0 Comment 0
2011.10.24 17:40

xSQLScanner 1.2 and Mono Version

I published at my blog a new tool called xSQLScanner. This program
allow the user audit MS-SQL and My-SQL servers.

Some features:

1 - 6 Vulnerability Audit options;
 1.2 - Test for weak password fast;
 1.3 - Test for wear/user passwords;
 1.4 - Wordlist option;
 1.5 5 - Userlist option;
2 - Portscanner
7 - Range IP Address audit and more.

Now the good news, i made 2 versions. Windows & Linux. The linux
version use the Mono Project, so i compiled mono version
to run under Linux (BackTrack 5 - GNOME).

Here the instructions to install under linux:

1 - get http://www.4shared.com/file/ykeEX3TV/xsqlscan-mono.html
2 - tar -xzvf  xsqlscan.tar.gz
3 - cd xsqlscan
4 - ./xsqlscanw
5 - The program will verify if you have Mono Core files. If already
have, the application will launcher.
5.1 - Answer 'yes' to download the libs and mono core files
6 - Restart the application typing: ./xsqlscanw
7 - Enjoy.

The link for Windows version:
http://www.4shared.com/file/9evD9RTY/xsqlscanner-12.html

Remember: any bugs, suggestions please contact me.

Regards

------------------------------------------------------------------------
This list is sponsored by: Information Assurance Certification Review Board

Prove to peers and potential employers without a doubt that you can actually do a proper penetration test. IACRB CPT 
and CEPT certs require a full practical examination in order to become certified. 

http://www.iacertification.org 
------------------------------------------------------------------------

From: Rodrigo Matuck <rodrigomatuck () globo com>
저작자 표시
신고

Trackback 0 Comment 0