北京時間9月21日消息,據(jù)科技資訊網(wǎng)站CNET報道,據(jù)卡巴斯基實驗室今天發(fā)布的一份安全公告稱,一名研究人員發(fā)現(xiàn),黑客僅利用甲骨文公司的數(shù)據(jù)庫名稱和用戶名,就可以野蠻入侵到甲骨文公司的Oracle數(shù)據(jù)庫。
在阿根廷舉行的一個安全會議上,來自AppSec公司的開發(fā)者埃斯特班·馬丁內(nèi)斯(Esteban Martinez Fayo)展示了他的研究成果。他稱,在一臺普通PC上,利用一款特殊工具,并通過簡單的密碼,在短短5小時之內(nèi)就可以獲取用戶數(shù)據(jù)庫中的數(shù)據(jù)。
馬丁內(nèi)斯稱,“這非常簡單,攻擊者只需知道數(shù)據(jù)庫的一個有效用戶名和數(shù)據(jù)庫的名稱,就可以搞定。”
馬丁內(nèi)斯稱,他發(fā)現(xiàn)了甲骨文密碼驗證機制上存在一個加密缺陷,攻擊者很容易就可以實現(xiàn)對數(shù)據(jù)庫的破解。馬丁內(nèi)斯還稱,這并不需要使用“中間人攻擊”模式來欺騙用戶,就可以使服務(wù)器直接向攻擊者泄露重要信息。
馬丁內(nèi)斯說,他的團隊最初于2010年5月份將這個漏洞告知了甲骨文,而且甲骨文在2011年對此進行了修復(fù)。但甲骨文當時并未修復(fù)當前的數(shù)據(jù)庫版本——11.1和11.2版本的數(shù)據(jù)庫仍可能會遭到攻擊。甲骨文最新發(fā)布的v 12版本修復(fù)了這一問題。
這并非首次在甲骨文數(shù)據(jù)庫中發(fā)現(xiàn)安全漏洞。今年1月份,在發(fā)現(xiàn)了一處可導(dǎo)致黑客黑客遠程訪問數(shù)據(jù)庫的安全漏洞后,甲骨文曾一次性地發(fā)布了78款安全補丁。而且就在上個月,在甲骨文的Java 7升級中還發(fā)現(xiàn)了一處新的安全漏洞。
馬丁內(nèi)斯稱,解決這一問題也有變通方法,“可以在11.1中禁用協(xié)議,或開始使用老的版本,如V10g。這是防止數(shù)據(jù)庫遭受攻擊的有效解決方法,對于部署甲骨文數(shù)據(jù)庫的組織來說非常重要。”
甲骨文對此報道尚未置評。
推薦閱讀
盧森堡的一位安全研究員于周五指出了IE瀏覽器的這個漏洞。他在分析一個去年用來發(fā)布網(wǎng)絡(luò)間諜活動的服務(wù)器時,電腦被感染。黑客曾于去年利用該電腦服務(wù)器展開過工業(yè)間諜行為,涉及多家化工企業(yè)和防務(wù)承包商。 9月20日>>>詳細閱讀
本文標題:卡巴斯基稱甲骨文數(shù)據(jù)庫存在加密漏洞
地址:http://www.sdlzkt.com/a/xie/20120201/115458.html
網(wǎng)友點評
精彩導(dǎo)讀
科技快報
品牌展示