科技资讯网站CNET报道,据卡巴斯基实验室今天发布的一份安全公告称,一名研究人员发现,黑客仅利用甲骨文公司的数据库名称和用户名,就可以野蛮入侵到甲骨文公司的Oracle数据库。 在阿根廷举行的一个安全会议上,来自AppSec公司的开发者埃斯特班·马丁内斯(Esteban Martinez Fayo)展示了他的研究成果。他称,在一台普通PC上,利用一款特殊工具,并通过简单的密码,在短短5小时之内就可以获取用户数据库中的数据。
马丁内斯称,“这非常简单,攻击者只需知道数据库的一个有效用户名和数据库的名称,就可以搞定。”
马丁内斯称,他发现了甲骨文密码验证机制上存在一个加密缺陷,攻击者很容易就可以实现对数据库的破解。马丁内斯还称,这并不需要使用“中间人攻击”模式来欺骗用户,就可以使服务器直接向攻击者泄露重要信息。
马丁内斯说,他的团队最初于2010年5月份将这个漏洞告知了甲骨文,而且甲骨文在2011年对此进行了修复。但甲骨文当时并未修复当前的数据库版本——11.1和11.2版本的数据库仍可能会遭到攻击。甲骨文最新发布的v 12版本修复了这一问题。
这并非首次在甲骨文数据库中发现安全漏洞。今年1月份,在发现了一处可导致黑客黑客远程访问数据库的安全漏洞后,甲骨文曾一次性地发布了78款安全补丁。而且就在上个月,在甲骨文的Java 7升级中还发现了一处新的安全漏洞。
马丁内斯称,解决这一问题也有变通方法,“可以在11.1中禁用协议,或开始使用老的版本,如V10g。这是防止数据库遭受攻击的有效解决方法,对于部署甲骨文数据库的组织来说非常重要。”
甲骨文对此报道尚未置评。
……