Un investigador descubre una vulnerabilidad en Oracle Data Redaction

Escrito por Rubén Velasco
Seguridad
0

Oracle Data Redaction es una nueva función que la compañía ha incluido en su herramienta Oracle Database 12c. Este servicio está destinado a que los diferentes administradores puedan proteger fácilmente los datos más sensibles de sus bases de datos (información bancaria, por ejemplo) sin impedir al usuario hacer uso de ella en cualquier momento.

David Litchfield, un experto de seguridad informática que ya ha reportado anteriormente docenas de vulnerabilidades en varios productos de Oracle, ha detectado una nueva vulnerabilidad en este módulo que permite a un pirata informático explotar la base de datos y acceder a los datos “protegidos” en pocos segundos y sin la necesidad de utilizar un exploit para ello.

Mediante una serie de fallos de programación, el investigador de seguridad consiguió que la base de datos le devolviera una lista de supuestos datos protegidos sin la necesidad de utilizar ninguna aplicación maliciosa ni ningún exploit para ello. Mediante el uso del método RETURNING INTO, este investigador consiguió engañar a la base de datos y envió una petición haciéndose pasar por otro módulo interno de este software consiguiendo obtener como respuesta los datos que él quisiera, entre ellos, los supuestos datos protegidos de la base de datos.

data redaction oracle foto

Pese a esto, el nuevo módulo Oracle Data Protection es una excelente herramienta que ayuda a proteger los datos más sensibles que los usuarios introducen en Internet, permite utilizarlos sin peligro a ser secuestrados y, cuando se solucionen estas vulnerabilidades, permitirá a los administradores web proteger bastante mejor los datos más críticos de los usuarios. En los próximos días los expertos de seguridad solucionarán esta vulnerabilidad junto a los otros pequeños errores de programación que han permitido que el investigador de seguridad descubriera esta vulnerabilidad en el módulo de protección de datos de la compañía.

¿Qué te parece esta función para proteger los datos más sensibles de las bases de datos online?

Fuente: The Hacker News