'데이타베이스' 태그의 글 목록

2012. 5. 4. 18:13

Oracle 데이터베이스 신규 취약점 주의

2012. 5. 4. 18:13 in 서버구축 (WEB,DB)

			트윗하기

728x90

개요

2012년 5월 1일, Oracle사는 Oracle 데이터베이스의 TNS listener 취약점에 대한 임시 조치 권고 발표[1]
4월에 발표된 April 2012 Critical Patch Update를 통해 패치 되지 아니한 취약점에 대해 개념증명코드(PoC)가 공개되어 패치 전에 취할 수 있는 조치에 대한 보안권고

설명

TNS listener와 관련된 취약점으로 원격에서 사용자 인증 없이 데이터베이스로의 연결을 엿보거나 임의의 명령어 실행이 가능한 취약점
※ TNS(Transparent Network Substrate) : Oracle에서 개발한 기술로 서로 다른 Network 구성을 가지고 있는 Client/Server 또는 Server/Server 간에도 Data의 전송을 가능하게 해주는 Network 기술

해당 소프트웨어

Oracle Database 11g Release 2, versions 11.2.0.2, 11.2.0.3
Oracle Database 11g Release 1, version 11.1.0.7
Oracle Database 10g Release 2, versions 10.2.0.3, 10.2.0.4, 10.2.0.5

임시 조치 방안

Real Application Clusters(RAC) 사용자는 My Oracle Support Note 1340831.1 참고 [2]
※ RAC(Real Application Clusters) : Oracle 데이터베이스 환경에서 클러스터링과 고가용성 기능을 가능케 하는 추가 기능
Real Application Clusters(RAC) 비사용자는 My Oracle Support Note 1453883.1 참고 [3]
상기 문서를 검토하고 벤더사 및 유지보수업체와 협의/검토 후 조치 요망

기타 문의사항

한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

[참고사이트]
[1] http://www.oracle.com/technetwork/topics/security/alert-cve-2012-1675-1608180.html
[2] https://support.oracle.com/CSP/main/article?cmd=show&type=NOT&id=1340831.1
[3] https://support.oracle.com/CSP/main/article?cmd=show&type=NOT&id=1453883.1

저작자표시

Posted by 날으는물고기

hi.pe.kr, listener, oracle, POC, TNS, 데이타베이스, 물고기, 오라클, 취약점

Trackback 0 Comment 0

2012. 5. 2. 14:12

주요 DB접근제어 솔루션

2012. 5. 2. 14:12 in 정보보호 (Security)

			트윗하기

728x90

업체명

(가나다순.)

솔루션

주요 특징 및 장점

모니터랩

DB인사이트 SG

-데이터베이스 성능에 영향을 미치지 않고 기본 인프라

환경의 변경 없음

-IP, DB 접근 사용자, 접근 시간대별로 제어가 가능

-IP그룹 지정 및 DB 접근 사용자 그룹 지정을 통한 접

근제어 가능

-저장 및 분석 DB에 접근하는 모든 SQL 쿼리 저장·차

단·탐지로그 저장, 감사로그 분석 수행

소만사

DB-i

-개인정보보호법에 규정한 개인정보의 안전성 확보조

치 기준에 맞춘 개인정보 접근, 저장, 전송 최소화

-접근통제, 접근차단 및 이상징후 탐지, 전송 시 암호

화, 접속기록 위·변조방지보관 기능

-DB 내 개인정보가 엔드포인트에 무단 저장되는 것을

막는 기능

신시웨이

페트라

-스니핑(Sniffing), 게이트웨이, 에이전트 방식 지원

-고객의 업무환경에 따라 단일형 또는 혼합형으로 제공

-‘SOHA’라는 자체 개발한 메인 메모리 DBMS를 리포

지토리(Repository) DBMS로 사용해 신속한 규칙 적

용과 로그저장이 가능

STG

시큐리티

ToFAZ Ｘ

-DB에 대한 접근을 실시간으로 감시·통제하며 모든 작

업활동을 기록·보관해 사후 감사자료를 제공

-사용자 IP Address 및 접속 어플리케이션, 날짜·시간

등의 조건으로 DB접근 통제

-사용자 DB 작업내역을 실시간 모니터링 하는 감사 기

능 등을 제공

-자체 개발한 아메바트리(ameba tree)엔진과 메모리

DB를 적용하여 중·대형 시스템에도 성능과 안정성 보장

웨어밸리

샤크라 맥스

-대용량 DB에 대한 접근제어 및 감사기능 동시에 지원

-DB에 직접 접근하는 사용자에 대한 접근제어, 서비스적

인 접근에 대해서도 성능 부하 없이 로깅 및 위험도에 대

한 감사기록 지원

-뛰어난 SQL 처리 성능을 바탕으로 접근 통제, 감사 기록

을 통한 개인정보보호 수행

이니텍

SeNeapp

-시스템 접근제어와 계정관리, 감사 기능을 결합한 ‘통합 계정 및 접근 제어 솔루션’

- 일체형 장비(Appliance)로 빠른 구축과 유지보수 편리

-Agent 설치 필요 없고 운영체제(OS)와 데이터베이스(DB)동시 지원

-TP(Transparent)모드 지원으로, 네트워크 및 타 장비에 완전히 투명하게 작동

- 기존 인프라 환경 변경하지 않고 사용 가능

피앤피

시큐어

DB세이퍼

-가상계정, 사용자 IP, 애플리케이션 등 주제별로 다양한

정보 동시에 접근제어

-구문에 대한 통제가 가능하며 명령어로 인한 DB의 부하

를 증가시키는 행위에 대해서도 제어

-지정된 시간이 지나도록 DB서버에서 사용자에게 요청

값을 통보하지 못할 경우 해당 사용자 세션 강제로 중단

-사용자별, 접속세션별 접속 이력을 실시간으로 모니터링

및 감시대상 DB로 요청되는 초당 SQL요청수, 초당 평균

응답시간, 데이터 조회 건수 등을 실시간 제공

출처 : 보안뉴스

저작자표시

Posted by 날으는물고기

DB접근제어, hi.pe.kr, 데이타베이스, 물고기, 보안, 솔루션, 해킹

Trackback 0 Comment 0

2011. 10. 24. 17:40

xSQLScanner 1.2 and Mono Version

2011. 10. 24. 17:40 in 모의해킹 (WAPT)

			트윗하기

728x90

I published at my blog a new tool called xSQLScanner. This program
allow the user audit MS-SQL and My-SQL servers.

Some features:

1 - 6 Vulnerability Audit options;
 1.2 - Test for weak password fast;
 1.3 - Test for wear/user passwords;
 1.4 - Wordlist option;
 1.5 5 - Userlist option;
2 - Portscanner
7 - Range IP Address audit and more.

Now the good news, i made 2 versions. Windows & Linux. The linux
version use the Mono Project, so i compiled mono version
to run under Linux (BackTrack 5 - GNOME).

Here the instructions to install under linux:

1 - get http://www.4shared.com/file/ykeEX3TV/xsqlscan-mono.html
2 - tar -xzvf  xsqlscan.tar.gz
3 - cd xsqlscan
4 - ./xsqlscanw
5 - The program will verify if you have Mono Core files. If already
have, the application will launcher.
5.1 - Answer 'yes' to download the libs and mono core files
6 - Restart the application typing: ./xsqlscanw
7 - Enjoy.

The link for Windows version:
http://www.4shared.com/file/9evD9RTY/xsqlscanner-12.html

Remember: any bugs, suggestions please contact me.

Regards

------------------------------------------------------------------------
This list is sponsored by: Information Assurance Certification Review Board

Prove to peers and potential employers without a doubt that you can actually do a proper penetration test. IACRB CPT 
and CEPT certs require a full practical examination in order to become certified. 

http://www.iacertification.org

------------------------------------------------------------------------

From: Rodrigo Matuck <rodrigomatuck () globo com>