9月24日 國(guó)際報(bào)道 據(jù)卡巴斯基實(shí)驗(yàn)室發(fā)布的安全公告稱(chēng)，一名安全研究人員發(fā)現(xiàn)，甲骨文的數(shù)據(jù)庫(kù)存在安全漏洞，黑客只需知道數(shù)據(jù)庫(kù)名稱(chēng)和用戶(hù)名，就可通過(guò)非法手段侵入到甲骨文Oracle數(shù)據(jù)庫(kù)。

　　在阿根廷召開(kāi)的一個(gè)安全會(huì)議上，安全公司AppSec的研究員Esteban Martinez Fayo演示了他的這一發(fā)現(xiàn)。該研究員稱(chēng)，在短短的5小時(shí)之內(nèi)，通過(guò)一臺(tái)普通PC并利用一個(gè)特殊工具，他就可以獲取簡(jiǎn)易口令并訪(fǎng)問(wèn)用戶(hù)數(shù)據(jù)。

　　Martinez Fayo稱(chēng)，“這非常簡(jiǎn)單，黑客者只需知道數(shù)據(jù)庫(kù)的一個(gè)有效的用戶(hù)名和名稱(chēng)就能夠?qū)嵤┕簟?rdquo;

　　Martinez Fayo稱(chēng)他發(fā)現(xiàn)了甲骨文數(shù)據(jù)庫(kù)密碼驗(yàn)證機(jī)制上的一處加密漏洞高，而該漏洞的存在導(dǎo)致攻擊者很容易實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)的破解。Martinez Fayo同時(shí)表示，黑客實(shí)施攻擊不需要使用“中間人攻擊”模式來(lái)進(jìn)行偽裝，而使服務(wù)器直接會(huì)向黑客泄露重要信息。

　　Martinez Fayo稱(chēng)他的團(tuán)隊(duì)最初于2010年5月份將該漏洞通知了甲骨文公司，而且甲骨文在2011年對(duì)此進(jìn)行了修復(fù)。但甲骨文并未修復(fù)當(dāng)前的數(shù)據(jù)庫(kù)版本——11.1和11.2版本，這些版本的數(shù)據(jù)庫(kù)仍面臨攻擊威脅。但甲骨文最新發(fā)布的12版本修復(fù)了該問(wèn)題。

　　其實(shí)這并非首次在甲骨文數(shù)據(jù)庫(kù)中發(fā)現(xiàn)安全漏洞。今年1月份，在發(fā)現(xiàn)了一處可導(dǎo)致黑客遠(yuǎn)程入侵?jǐn)?shù)據(jù)庫(kù)的安全漏洞后，甲骨文一次性為其數(shù)據(jù)庫(kù)軟件發(fā)布了78款安全補(bǔ)丁。剛剛在上個(gè)月，在甲骨文的最近發(fā)布的Java 7升級(jí)中還發(fā)現(xiàn)了一處新的安全漏洞。

　　Martinez Fayo表示，目前要想解決這一問(wèn)題的變通方法，“在11.1中選擇禁用協(xié)議，或使用老版本，如V10g，這是防止數(shù)據(jù)庫(kù)遭受攻擊的有效途徑，而對(duì)于部署甲骨文數(shù)據(jù)庫(kù)的機(jī)構(gòu)組織來(lái)說(shuō)非常重要。”

特別提醒：本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀(guān)點(diǎn)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。本站不承擔(dān)此類(lèi)作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請(qǐng)及時(shí)聯(lián)系我們，本站將會(huì)在24小時(shí)內(nèi)處理完畢。