Search

Archives

Pages

Op mijn desktop:

Suggesties, commentaar, ... (klik of schrijf zelf:)e-mail webgang

Private

Laatste titels:

Voorzichtige veiligheidslek * Overclocking garantie

i-nieuws 6 na 6 ** January 19th, 2012 by wim.webgang **

Voorzichtige veiligheidslek

Infoworld kreeg een tip over een veiligheidslek in een database-systeem van Oracle, dat gebruikt wordt in professionele omgevingen en voor zeer grote toepassingen. Ze publiceerden de lek niet meteen, maar gingen voorzichtig met de informatie om. Ze probeerden eerst zelf of de tip klopte. Ze spraken vervolgens een aantal experts aan om de ernst en het effect van het mankement vast te stellen. Ze namen contact met Oracle, en beloofden niets te publiceren alvorens Oracle een patch uitgebracht had.
Deze week kwam de patch uit, en ook het verhaal erachter. De database zou gemanipuleerd kunnen worden vanop een niveau met weinig rechten. Het zou met name mogelijk zijn een transaciteteller kunstmatig te verhogen tot abnormaal hoge waarden. Eens voorbij een grenswaarde gekomen zou dat de database kunnen doen crashen of hinderen in zijn functioneren. Bovendien zou de waarde zich ook voortzetten naar andere databanken die in verbinding staan met de getroffen databank. De databank wordt gebruikt bij erg grote bedrijven met veel (soms online internet-) transacties, zoals banken.

De transactieteller werkt zoals een km-teller of een bedrijfsurenteller, dwz hij telt altijd verder en geeft een stadium in het leven van de database aan. Er is een veilige grenswaarde gekozen zodat je niet als bij een auto de teller rond kan rijden en terug op nul kan komen; de transactieteller kan een miljard keer een miljoen transacties tellen.

Maar als meer databanken gekoppeld worden, moet er tussen de twee databanken een gemeenschappelijke transactieteller gebruikt worden.

Om te vergelijken met een auto: stel dat je van twee auto’s met een verschillende km-stand vertrekt. Je gebruikt carrosserie van de éne auto en de motor van de andere om een nieuwe auto samen te stellen. Dan zou de km teller op het dashboard van de nieuw samengestelde auto op de hoogste waarde gezet worden.

Alleen gaat de vergelijking met de auto niet op omdat de transactieteller helemaal anders gebruikt wordt als in de auto; het is de metronoom, of eerder de dirigent van de database.
De teller dient ondermeer om te beslissen in welke volgorde ingewikkelde en met welke datasets transacties moeten afgehandeld worden. De databases mogen geen lager transactienummer kunnen hebben in hun intere bewerking t.o.v. de gekoppelde bewerkingen. In de praktijk wordt de transactieteller die het hoogst staat vanaf dan gebruikt op beide databanken. Er gebeurt dus een sprong vooruit bij de database met de laagste teller. En als de hoogste tellerstand een abnormaal hoge waarde heeft, zet die waarde zich dus door naar de gekoppelde databank.

In de hele combinatie is één ding cruciaal: of er een manier is waarop de waarde van die teller plots heel erg kan stijgen. En inderdaad, zouden er verschillende manieren zijn waarop dat zou kunnen gebeuren. Ze kunnen in principe maar zijn echter onwaarschijnlijk, behalve 1, en dat is een bug in een backup commando. Door die bug kan bij het maken van een bepaald soort backup de transactieteller grote sprongen maken naar boven, zeg maar met miljoenen of meer. Het is ondermeer deze bug die nu verholpen is.

Overclocking garantie

Het lijkt wel een 1-april grap maar het is 19 januari, dus we lezen toch verder in een bericht dat intel een soort garantie geeft voor wie zijn processor-over-klokt. “Over-clocking” is een ingreep in de computer waarbij je de processor sneller doet werken dan hij oorspronkelijk is ingesteld. Het risico bestaat nl dat je daarmee de processor kapot maakt. Nu heeft intel bovenop zijn normale 3-jaar garantie, een soort verzekering die je kan bijnemen tegen de schade door overclocking.

Lift ^ | Lift v | Comments Off

Comments are closed.