9月24日 國際報道 據(jù)卡巴斯基實驗室發(fā)布的安全公告稱，一名安全研究人員發(fā)現(xiàn)，甲骨文的數(shù)據(jù)庫存在安全漏洞，黑客只需知道數(shù)據(jù)庫名稱和用戶名，就可通過非法手段侵入到甲骨文Oracle數(shù)據(jù)庫。

　　在阿根廷召開的一個安全會議上，安全公司AppSec的研究員Esteban Martinez Fayo演示了他的這一發(fā)現(xiàn)。該研究員稱，在短短的5小時之內(nèi)，通過一臺普通PC并利用一個特殊工具，他就可以獲取簡易口令并訪問用戶數(shù)據(jù)。

　　Martinez Fayo稱，“這非常簡單，黑客者只需知道數(shù)據(jù)庫的一個有效的用戶名和名稱就能夠?qū)嵤┕簟?rdquo;

　　Martinez Fayo稱他發(fā)現(xiàn)了甲骨文數(shù)據(jù)庫密碼驗證機制上的一處加密漏洞高，而該漏洞的存在導(dǎo)致攻擊者很容易實現(xiàn)對數(shù)據(jù)庫的破解。Martinez Fayo同時表示，黑客實施攻擊不需要使用“中間人攻擊”模式來進行偽裝，而使服務(wù)器直接會向黑客泄露重要信息。

　　Martinez Fayo稱他的團隊最初于2010年5月份將該漏洞通知了甲骨文公司，而且甲骨文在2011年對此進行了修復(fù)。但甲骨文并未修復(fù)當(dāng)前的數(shù)據(jù)庫版本——11.1和11.2版本，這些版本的數(shù)據(jù)庫仍面臨攻擊威脅。但甲骨文最新發(fā)布的12版本修復(fù)了該問題。

　　其實這并非首次在甲骨文數(shù)據(jù)庫中發(fā)現(xiàn)安全漏洞。今年1月份，在發(fā)現(xiàn)了一處可導(dǎo)致黑客遠程入侵數(shù)據(jù)庫的安全漏洞后，甲骨文一次性為其數(shù)據(jù)庫軟件發(fā)布了78款安全補丁。剛剛在上個月，在甲骨文的最近發(fā)布的Java 7升級中還發(fā)現(xiàn)了一處新的安全漏洞。

　　Martinez Fayo表示，目前要想解決這一問題的變通方法，“在11.1中選擇禁用協(xié)議，或使用老版本，如V10g，這是防止數(shù)據(jù)庫遭受攻擊的有效途徑，而對于部署甲骨文數(shù)據(jù)庫的機構(gòu)組織來說非常重要。”

特別提醒：本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實，對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾，并請自行核實相關(guān)內(nèi)容。本站不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請及時聯(lián)系我們，本站將會在24小時內(nèi)處理完畢。