Уважаемые подписчики,

В этом выпуске мы постараемся предоставить подробную информацию о якобы первом вирусе , который атакует БД oracle.

Несколько недель назад некий anonymous опубликовал письмо с  заголовком "  Trick or treat Larry" . В этом письме описывается пример PL/SQL кода ,который якобы может послужить примером вируса БД oracle.

Алгоритм "вируса" следующий:

1) Используется процедура utl_inaddr для получения IP адреса

2) Запускается запрос на статус Listener через utl_tcp  на порт 1521 для всех адресов в диапазоне  IP адреса полученного выше

3) Цель вышеуказанного запроса получить список SID в данной организации

4) Попытка присоединится к собранным SID путем использования  широко известных комбинаций пользователей и паролей , как то :dbsnmp/dbsnmp, outln/outln, scott/tiger, mdsys/mdsys, ordcommon/ordcommon

5) При успешном присоединении создаётся табличка Х

Полный код оригинала можно найти здесь.

В конечном итоге реальной угрозы этот код не представляет.

"Вирус" использует стандартную функциональность oracle,которая всем широко известна. Никаких новых лазеек в безопасности БД найдено не было и всякий ,кто принимает элементарные средства предосторожности не имеет повода для беспокойства.

Мы приводим также несколько ссылок по теме и официальный ответ oracle:

PcWorld ,TheRegister,Red-database-security

Официальный ответ oracle (metalink note#340009.1)

Если у вас есть вопрос или более подробная информация , тогда пишите на адрес автора рассылки eldar52@mail.ru

С уважением.

Eldar