9月24日 國(guó)際報(bào)道 據(jù)卡巴斯基實(shí)驗(yàn)室發(fā)布的安全公告稱,一名安全研究人員發(fā)現(xiàn),甲骨文的數(shù)據(jù)庫(kù)存在安全漏洞,黑客只需知道數(shù)據(jù)庫(kù)名稱和用戶名,就可通過(guò)非法手段侵入到甲骨文Oracle數(shù)據(jù)庫(kù)。
在阿根廷召開的一個(gè)安全會(huì)議上,安全公司AppSec的研究員Esteban Martinez Fayo演示了他的這一發(fā)現(xiàn)。該研究員稱,在短短的5小時(shí)之內(nèi),通過(guò)一臺(tái)普通PC并利用一個(gè)特殊工具,他就可以獲取簡(jiǎn)易口令并訪問(wèn)用戶數(shù)據(jù)。
Martinez Fayo稱,“這非常簡(jiǎn)單,黑客者只需知道數(shù)據(jù)庫(kù)的一個(gè)有效的用戶名和名稱就能夠?qū)嵤┕簟?rdquo;
Martinez Fayo稱他發(fā)現(xiàn)了甲骨文數(shù)據(jù)庫(kù)密碼驗(yàn)證機(jī)制上的一處加密漏洞高,而該漏洞的存在導(dǎo)致攻擊者很容易實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)的破解。Martinez Fayo同時(shí)表示,黑客實(shí)施攻擊不需要使用“中間人攻擊”模式來(lái)進(jìn)行偽裝,而使服務(wù)器直接會(huì)向黑客泄露重要信息。
Martinez Fayo稱他的團(tuán)隊(duì)最初于2010年5月份將該漏洞通知了甲骨文公司,而且甲骨文在2011年對(duì)此進(jìn)行了修復(fù)。但甲骨文并未修復(fù)當(dāng)前的數(shù)據(jù)庫(kù)版本——11.1和11.2版本,這些版本的數(shù)據(jù)庫(kù)仍面臨攻擊威脅。但甲骨文最新發(fā)布的12版本修復(fù)了該問(wèn)題。
其實(shí)這并非首次在甲骨文數(shù)據(jù)庫(kù)中發(fā)現(xiàn)安全漏洞。今年1月份,在發(fā)現(xiàn)了一處可導(dǎo)致黑客遠(yuǎn)程入侵?jǐn)?shù)據(jù)庫(kù)的安全漏洞后,甲骨文一次性為其數(shù)據(jù)庫(kù)軟件發(fā)布了78款安全補(bǔ)丁。剛剛在上個(gè)月,在甲骨文的最近發(fā)布的Java 7升級(jí)中還發(fā)現(xiàn)了一處新的安全漏洞。
Martinez Fayo表示,目前要想解決這一問(wèn)題的變通方法,“在11.1中選擇禁用協(xié)議,或使用老版本,如V10g,這是防止數(shù)據(jù)庫(kù)遭受攻擊的有效途徑,而對(duì)于部署甲骨文數(shù)據(jù)庫(kù)的機(jī)構(gòu)組織來(lái)說(shuō)非常重要。”
推薦閱讀
這家中國(guó)光伏龍頭企業(yè)日前宣布收到來(lái)自紐交所的警告,因截至9月10日的連續(xù)30個(gè)交易日,公司收盤價(jià)連續(xù)低于1美元,不符合紐交所的上市規(guī)定。這意味著在此后6個(gè)月內(nèi)(到明年3月份之前),尚德必須將股價(jià)恢復(fù)到高于1美元>>>詳細(xì)閱讀
本文標(biāo)題:卡巴斯基公告:甲骨文數(shù)據(jù)庫(kù)存安全漏洞
地址:http://www.oumuer.cn/a/xie/20120201/115289.html
網(wǎng)友點(diǎn)評(píng)
精彩導(dǎo)讀
科技快報(bào)
品牌展示