站長資訊網9月24日 國際報道 據卡巴斯基實驗室發布的安全公告稱,一名安全研究人員發現,甲骨文的數據庫存在安全漏洞,黑客只需知道數據庫名稱和用戶名,就可通過非法手段侵入到甲骨文Oracle數據庫。
在阿根廷召開的一個安全會議上,安全公司AppSec的研究員Esteban Martinez Fayo演示了他的這一發現。該研究員稱,在短短的5小時之內,通過一臺普通PC并利用一個特殊工具,他就可以獲取簡易口令并訪問用戶數據。
Martinez Fayo稱,“這非常簡單,黑客者只需知道數據庫的一個有效的用戶名和名稱就能夠實施攻擊。”
Martinez Fayo稱他發現了甲骨文數據庫密碼驗證機制上的一處加密漏洞高,而該漏洞的存在導致攻擊者很容易實現對數據庫的破解。Martinez Fayo同時表示,黑客實施攻擊不需要使用“中間人攻擊”模式來進行偽裝,而使服務器直接會向黑客泄露重要信息。
Martinez Fayo稱他的團隊最初于2010年5月份將該漏洞通知了甲骨文公司,而且甲骨文在2011年對此進行了修復。但甲骨文并未修復當前的數據庫版本——11.1和11.2版本,這些版本的數據庫仍面臨攻擊威脅。但甲骨文最新發布的12版本修復了該問題。
其實這并非首次在甲骨文數據庫中發現安全漏洞。今年1月份,在發現了一處可導致黑客遠程入侵數據庫的安全漏洞后,甲骨文一次性為其數據庫軟件發布了78款安全補丁。剛剛在上個月,在甲骨文的最近發布的Java 7升級中還發現了一處新的安全漏洞。
Martinez Fayo表示,目前要想解決這一問題的變通方法,“在11.1中選擇禁用協議,或使用老版本,如V10g,這是防止數據庫遭受攻擊的有效途徑,而對于部署甲骨文數據庫的機構組織來說非常重要。”
特別提醒:本網內容轉載自其他媒體,目的在于傳遞更多信息,并不代表本網贊同其觀點。其原創性以及文中陳述文字和內容未經本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,并請自行核實相關內容。本站不承擔此類作品侵權行為的直接責任及連帶責任。如若本網有任何內容侵犯您的權益,請及時聯系我們,本站將會在24小時內處理完畢。
