北京時間9月21日消息,據科技資訊網站CNET報道,據卡巴斯基實驗室今天發布的一份安全公告稱,一名研究人員發現,黑客僅利用甲骨文公司的數據庫名稱和用戶名,就可以野蠻入侵到甲骨文公司的Oracle數據庫。
在阿根廷舉行的一個安全會議上,來自AppSec公司的開發者埃斯特班·馬丁內斯(Esteban Martinez Fayo)展示了他的研究成果。他稱,在一臺普通PC上,利用一款特殊工具,并通過簡單的密碼,在短短5小時之內就可以獲取用戶數據庫中的數據。
馬丁內斯稱,“這非常簡單,攻擊者只需知道數據庫的一個有效用戶名和數據庫的名稱,就可以搞定。”
馬丁內斯稱,他發現了甲骨文密碼驗證機制上存在一個加密缺陷,攻擊者很容易就可以實現對數據庫的破解。馬丁內斯還稱,這并不需要使用“中間人攻擊”模式來欺騙用戶,就可以使服務器直接向攻擊者泄露重要信息。
馬丁內斯說,他的團隊最初于2010年5月份將這個漏洞告知了甲骨文,而且甲骨文在2011年對此進行了修復。但甲骨文當時并未修復當前的數據庫版本——11.1和11.2版本的數據庫仍可能會遭到攻擊。甲骨文最新發布的v 12版本修復了這一問題。
這并非首次在甲骨文數據庫中發現安全漏洞。今年1月份,在發現了一處可導致黑客黑客遠程訪問數據庫的安全漏洞后,甲骨文曾一次性地發布了78款安全補丁。而且就在上個月,在甲骨文的Java 7升級中還發現了一處新的安全漏洞。
馬丁內斯稱,解決這一問題也有變通方法,“可以在11.1中禁用協議,或開始使用老的版本,如V10g。這是防止數據庫遭受攻擊的有效解決方法,對于部署甲骨文數據庫的組織來說非常重要。”
甲骨文對此報道尚未置評。
推薦閱讀
盧森堡的一位安全研究員于周五指出了IE瀏覽器的這個漏洞。他在分析一個去年用來發布網絡間諜活動的服務器時,電腦被感染。黑客曾于去年利用該電腦服務器展開過工業間諜行為,涉及多家化工企業和防務承包商。 9月20日>>>詳細閱讀
本文標題:卡巴斯基稱甲骨文數據庫存在加密漏洞
地址:http://www.sdlzkt.com/a/xie/20120201/115458.html
網友點評
精彩導讀
科技快報
品牌展示