卡巴斯基安全公告稱甲骨文數(shù)據(jù)庫存在加密漏洞

據(jù)卡巴斯基實驗室發(fā)布的安全公告稱，一名安全研究人員發(fā)現(xiàn)，甲骨文的數(shù)據(jù)庫存在安全漏洞，黑客只需知道數(shù)據(jù)庫名稱和用戶名，就可通過非法手段侵入到甲骨文Oracle數(shù)據(jù)庫。

在阿根廷召開的一個安全會議上，安全公司AppSec的研究員Esteban Martinez Fayo演示了他的這一發(fā)現(xiàn)。該研究員稱，在短短的5小時之內(nèi)，通過一臺普通PC并利用一個特殊工具，他就可以獲取簡易口令并訪問用戶數(shù)據(jù)。

Martinez Fayo稱，“這非常簡單，黑客者只需知道數(shù)據(jù)庫的一個有效的用戶名和名稱就能夠?qū)嵤┕簟?rdquo;

Martinez Fayo稱他發(fā)現(xiàn)了甲骨文數(shù)據(jù)庫密碼驗證機(jī)制上的一處加密漏洞高，而該漏洞的存在導(dǎo)致攻擊者很容易實現(xiàn)對數(shù)據(jù)庫的破解。Martinez Fayo同時表示，黑客實施攻擊不需要使用“中間人攻擊”模式來進(jìn)行偽裝，而使服務(wù)器直接會向黑客泄露重要信息。

Martinez Fayo稱他的團(tuán)隊最初于2010年5月份將該漏洞通知了甲骨文公司，而且甲骨文在2011年對此進(jìn)行了修復(fù)。但甲骨文并未修復(fù)當(dāng)前的數(shù)據(jù)庫版本——11.1和11.2版本，這些版本的數(shù)據(jù)庫仍面臨攻擊威脅。但甲骨文最新發(fā)布的12版本修復(fù)了該問題。

其實這并非首次在甲骨文數(shù)據(jù)庫中發(fā)現(xiàn)安全漏洞。今年1月份，在發(fā)現(xiàn)了一處可導(dǎo)致黑客遠(yuǎn)程入侵?jǐn)?shù)據(jù)庫的安全漏洞后，甲骨文一次性為其數(shù)據(jù)庫軟件發(fā)布了78款安全補(bǔ)丁。剛剛在上個月，在甲骨文的最近發(fā)布的Java 7升級中還發(fā)現(xiàn)了一處新的安全漏洞。

Martinez Fayo表示，目前要想解決這一問題的變通方法，“在11.1中選擇禁用協(xié)議，或使用老版本，如V10g，這是防止數(shù)據(jù)庫遭受攻擊的有效途徑，而對于部署甲骨文數(shù)據(jù)庫的機(jī)構(gòu)組織來說非常重要。”