北京時(shí)間9月21日消息,據(jù)科技資訊網(wǎng)站CNET報(bào)道,據(jù)卡巴斯基實(shí)驗(yàn)室今天發(fā)布的一份安全公告稱,一名研究人員發(fā)現(xiàn),黑客僅利用甲骨文公司的數(shù)據(jù)庫名稱和用戶名,就可以野蠻入侵到甲骨文公司的Oracle數(shù)據(jù)庫。
在阿根廷舉行的一個(gè)安全會(huì)議上,來自AppSec公司的開發(fā)者埃斯特班·馬丁內(nèi)斯(Esteban Martinez Fayo)展示了他的研究成果。他稱,在一臺(tái)普通PC上,利用一款特殊工具,并通過簡單的密碼,在短短5小時(shí)之內(nèi)就可以獲取用戶數(shù)據(jù)庫中的數(shù)據(jù)。
馬丁內(nèi)斯稱,“這非常簡單,攻擊者只需知道數(shù)據(jù)庫的一個(gè)有效用戶名和數(shù)據(jù)庫的名稱,就可以搞定。”
馬丁內(nèi)斯稱,他發(fā)現(xiàn)了甲骨文密碼驗(yàn)證機(jī)制上存在一個(gè)加密缺陷,攻擊者很容易就可以實(shí)現(xiàn)對(duì)數(shù)據(jù)庫的破解。馬丁內(nèi)斯還稱,這并不需要使用“中間人攻擊”模式來欺騙用戶,就可以使服務(wù)器直接向攻擊者泄露重要信息。
馬丁內(nèi)斯說,他的團(tuán)隊(duì)最初于2010年5月份將這個(gè)漏洞告知了甲骨文,而且甲骨文在2011年對(duì)此進(jìn)行了修復(fù)。但甲骨文當(dāng)時(shí)并未修復(fù)當(dāng)前的數(shù)據(jù)庫版本——11.1和11.2版本的數(shù)據(jù)庫仍可能會(huì)遭到攻擊。甲骨文最新發(fā)布的v 12版本修復(fù)了這一問題。
這并非首次在甲骨文數(shù)據(jù)庫中發(fā)現(xiàn)安全漏洞。今年1月份,在發(fā)現(xiàn)了一處可導(dǎo)致黑客黑客遠(yuǎn)程訪問數(shù)據(jù)庫的安全漏洞后,甲骨文曾一次性地發(fā)布了78款安全補(bǔ)丁。而且就在上個(gè)月,在甲骨文的Java 7升級(jí)中還發(fā)現(xiàn)了一處新的安全漏洞。
馬丁內(nèi)斯稱,解決這一問題也有變通方法,“可以在11.1中禁用協(xié)議,或開始使用老的版本,如V10g。這是防止數(shù)據(jù)庫遭受攻擊的有效解決方法,對(duì)于部署甲骨文數(shù)據(jù)庫的組織來說非常重要。”
甲骨文對(duì)此報(bào)道尚未置評(píng)。
推薦閱讀
盧森堡的一位安全研究員于周五指出了IE瀏覽器的這個(gè)漏洞。他在分析一個(gè)去年用來發(fā)布網(wǎng)絡(luò)間諜活動(dòng)的服務(wù)器時(shí),電腦被感染。黑客曾于去年利用該電腦服務(wù)器展開過工業(yè)間諜行為,涉及多家化工企業(yè)和防務(wù)承包商。 9月20日>>>詳細(xì)閱讀
本文標(biāo)題:卡巴斯基稱甲骨文數(shù)據(jù)庫存在加密漏洞
地址:http://www.xglongwei.com/a/xie/20120201/115458.html
網(wǎng)友點(diǎn)評(píng)
精彩導(dǎo)讀
科技快報(bào)
品牌展示