研究者表示 Oracle 数据库容易被攻击
据卡巴斯基实验室报道,一名研究者表示只须利用数据库名和用户名就可以攻击 Oracle 的数据库。
在阿根廷举办的一场安全会议上,供职于 AppSec 的 Esteban Martinez Fayo 公开了他的发现——在五个小时内只用一台普通的 PC 和一个特殊工具就可以获取简单的用户密码以及查看用户信息的权限。
Martinez Fayo 告诉知名网络安全博客 Dark Reading:“这非常简单,攻击者只需要知道有效的用户名和数据库名就够了。” 根据他的描述我们可以推断,攻击者并不需要一个“中间人”来诓骗多用户信息,而是可以直接从服务器上窃取可靠信息。
2010 年 5 月 Martinez Fayo 曾向 Oracle 提出警告,于是在 2011 年这个漏洞得到了修补,但Martinez Fayo 还表示最新版本依然存在这个问题,也就是说版本 11.1 和 11.2 依然容易被攻击,而最近刚放出的 12 版本就不存在这个漏洞。
不过 Oracle 的解决方案基本上只是放出全新的、与老版本不相容的执行标准,而原先的版本依然曝露在被攻击的危险下。“Oracle (对这些漏洞的存在)一直保持沉默,”AppSec TeamSHATTER 团队负责安全调查的 Alex Rothacker 如是说。“他们做出的唯一评论仅仅只是一段要发布用来解决‘一些安全问题’的执行协议的声明,他们没有向用户做出任何程度的警告和提示。”
这已经不是 Oracle 的数据库第一次出问题了,在今年一月 Oracle 在一个重要补丁中修补了 78 个软件漏洞,这些漏洞将致使攻击者可以远程攻击数据库。而就在上个月的 Java 7 升级中就发现了一个可以被攻击者用来执行任意代码的漏洞。
Martinez Fayo 告知我们一种解决方案:“禁用 11.1 版本的执行协议,使用老版的协议比如 10g,这样就能在一定程度上避免被攻击。”他同时表示,对使用 Oracle 数据库的用户来说,迅速使用有力的解决方案来规避由这些漏洞带来的风险是至关重要的。