北京时间9月21日消息,据科技资讯网站CNET报道,据卡巴斯基实验室今天发布的一份安全公告称,一名研究人员发现,黑客仅利用甲骨文公司的数据库名称和用户名,就可以野蛮入侵到甲骨文公司的Oracle数据库。
在阿根廷举行的一个安全会议上,来自AppSec公司的开发者埃斯特班·马丁内斯(Esteban Martinez Fayo)展示了他的研究成果。他称,在一台普通PC上,利用一款特殊工具,并通过简单的密码,在短短5小时之内就可以获取用户数据库中的数据。
马丁内斯称,“这非常简单,攻击者只需知道数据库的一个有效用户名和数据库的名称,就可以搞定。”
马丁内斯称,他发现了甲骨文密码验证机制上存在一个加密缺陷,攻击者很容易就可以实现对数据库的破解。马丁内斯还称,这并不需要使用“中间人攻击”模式来欺骗用户,就可以使服务器直接向攻击者泄露重要信息。
马丁内斯说,他的团队最初于2010年5月份将这个漏洞告知了甲骨文,而且甲骨文在2011年对此进行了修复。但甲骨文当时并未修复当前的数据库版本——11.1和11.2版本的数据库仍可能会遭到攻击。甲骨文最新发布的v 12版本修复了这一问题。
这并非首次在甲骨文数据库中发现安全漏洞。今年1月份,在发现了一处可导致黑客黑客远程访问数据库的安全漏洞后,甲骨文曾一次性地发布了78款安全补丁。而且就在上个月,在甲骨文的Java 7升级中还发现了一处新的安全漏洞。
马丁内斯称,解决这一问题也有变通方法,“可以在11.1中禁用协议,或开始使用老的版本,如V10g。这是防止数据库遭受攻击的有效解决方法,对于部署甲骨文数据库的组织来说非常重要。”
甲骨文对此报道尚未置评。
推荐阅读
卢森堡的一位安全研究员于周五指出了IE浏览器的这个漏洞。他在分析一个去年用来发布网络间谍活动的服务器时,电脑被感染。黑客曾于去年利用该电脑服务器展开过工业间谍行为,涉及多家化工企业和防务承包商。 9月20日>>>详细阅读
本文标题:卡巴斯基称甲骨文数据库存在加密漏洞
地址:http://www.lgo100.com/a/xie/20120201/115458.html
网友点评
精彩导读
科技快报
品牌展示