[Outofthebox] Oracle, PL/SQL e compaesani...

[Angelo Dell'Aera]

Ieri mi sono perso in una riflessione profonda e forse anche un po'
amara. Come ormai il causale avventore della lista avra' ben capito, le
mie sono riflessioni che non portano a grandi e eclatanti rivelazioni
sul mistero dell'esistenza ma tant'e'. 

Ieri mi trovavo nel bel mezzo di un'amabile chiacchierata con un amico
del mio paese che di mestiere fa il DBA Oracle. Devo essere sincero. E'
ben piu' di un DBA Oracle. Una persona che decide per puro gaudio di
scriversi un motore grafico 3D partendo da zero tra le mille cose che
ha fatto, per come la vedo io, non e' soltanto un DBA ma questa e'
un'altra storia. 

Ieri lo interrogavo a proposito di quella bestia rara (ma che devo
ammettere mi affascina) che risponde al nome di PL/SQL su cui avevo
alcuni dubbi. Eravamo persi in discorsi su procedure anonime e SQL*Plus
quando, a un certo punto, mi viene la malsana idea di mostrargli alcuni
script per sfruttare alcune vulnerabilita' scoperte di recente nel
RDBMS e di cui si e' fatto tanto parlare su Bugtraq.

Il mio amico legge in qualche nanosecondo il codice di exploit e
afferma laconico "certo questo script funzionerebbe su un'installazione
di default di Oracle". E fin qui ci sta direi. Ma poi aggiunge "questo
problema non e' mica cosi' recente tanto che nelle installazioni che
seguo di persona abbiamo messo su un workaround per questo problema da
molto tempo". Tutti conosciamo la responsivita' di Oracle a queste
segnalazioni ma anche questa e' un'altra storia. Quello che mi
colpisce e' quel "da molto tempo". 

Incredulo e ostinato allo stesso tempo, continuo a mostrargli codici di
exploit ma la risposta non cambia come tono. Mi rendo conto che quello
che per me e' eclatante per lui e' storia nota. 

Qualcuno a questo punto potrebbe pensare che io stia per inveire contro
Oracle ma non lo faro' perche' ormai sparare su Oracle e' di moda e io
non credo di essere adeguato in tal senso. La riflessione che mi
sovviene e' invece un'altra. Siamo abituati a vedere nelle solite
due-tre persone i massimi esperti della sicurezza in Oracle (ma il
discorso puo' essere generalizzato a un qualunque sistema complesso
quanto si voglia). Vediamo queste persone postare mille e piu' advisory
e pendiamo dalle loro labbra appena ne rilasciano un altro. E poi un mio
compaesano mi dice "questa e' roba risaputa". Qualcosa stona a mio
modesto parere. Qualcosa non mi torna. 


-- 

Angelo Dell'Aera 'buffer' 
Antifork Research, Inc.	  	http://buffer.antifork.org
Metro Olografix

PGP information in e-mail header


-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 198 bytes
Desc: not available
URL: <http://mail.olografix.org/pipermail/outofthebox/attachments/20060912/416fd2dd/attachment-0002.bin>