Since last quarter of 2016, a very easy to explore SQL Injection came to public where having a combination CREATE SESSION + EXECUTE_CATALOG_ROLE, an user could escalate his privileges to DBA. The first time I've read about this leak was on Mahmoud Hatem blog. This SQL Injection affects 12.1.0.2 and 12.2.0.1 when the user has this …
Categoria: Database Security
Database Security
jan 23
Dissecting 180116 BP, PSU, RU and RUR
Since Oct-2017 I am quarterly writing a post dissecting the changes implemented by Oracle CPUs so we can understand better the modifications implemented by Oracle in our Databases. So what oracle internal objects were changed in 180116? VERSION PATCH OWNER TYPE TOTAL -------------------- ---------- ------------------------------ ------------------------------ ---------- 11.2.0.4 PSU & BP SYS PACKAGE 1 11.2.0.4 …
jan 16
OAV-46511: missing plugin for trail at agent on host
Estes dias, depois de instalar um novo agente do AV e realizar a configuração inicial de um novo audit trail, comecei a receber um erro estranho "OAV-46511: missing plugin for trail at agent on host" como na imagem abaixo: O agente tinha acabado de ser implantado então não tinha razão para ele não incluir os …
jan 12
Instalação do Audit Vault falhando com "Unable to run Clusterware root script"
Estava instalando hoje o Audit Vault 12.2.0.4.0 e comecei a receber um erro falando "Unable to run Clusterware root script". No início pesquisei um pouco e encontrei que eu não estava em compilance com todos os requisitos da versão 12.2, apenas da 12.1: Para 12.1 (https://docs.oracle.com/cd/E37100_01/doc.121/e27778/preinstall.htm#SIGIG292): Memory Requirements - Each x86 64-bit server must have …
ago 11
Como proteger CREATE PUBLIC SYNONYM contra escalonamento de privilégios
Durante a minha última apresentação no GUOB Tech Tour 2016 - Oracle Technology Tour LA - Brazil, demonstrei como poderíamos facilmente usar um privilégio de CREATE PUBLIC SYNONYM para escalonar até um privilégio DBA. Neste artigo, eu vou compartilhar com vocês uma package que criei e uso em meus sistemas para permitir que os usuários …