卡巴斯基:Oracle数据库存在加密漏洞
程序员文章站
2022-06-15 19:47:15
...
卡巴斯基实验室发布安全公告称,研究发现,攻击者只需知道数据库名称和用户名就可以通过暴力破解方式攻破甲骨文公司的Oracle数据库。
AppSec公司开发者Esteban Martinez Fayo在一个安全会议上展示了他的研究成果,他在一个普通PC上,通过一个特殊工具,在5个小时内获取了数据库中的数据。
Fayo称,这非常简单,攻击者只需知道数据库的名称,以及该数据库的一个有效的用户名就行。
Fayo发现Oracle密码验证机制中存在一个加密缺陷,攻击者可以很容易的破解,不需要使用“中间人攻击”模式来欺骗用户,就可以使服务器直接向攻击者泄露重要的信息。
Fayo的团队在2010年5月份首次将这个漏洞告诉甲骨文公司,甲骨文在2011年进行了修复。但是,甲骨文并没有修复当前的数据库版本,11.1和11.2版本仍可能会遭到攻击。最新发布的v12版本中也没有修复这个问题。
Fayo称,可以在11.1中禁用协议,或使用老的版本,如10g。这是目前防止攻击的最有效的解决方法,对于部署Oracle数据库的组织来说至关重要。
甲骨文目前还未对这一消息发表评论。
在上个月底,甲骨文的Java 7全系产品也曾爆出安全漏洞,随后甲骨文发布了Java 7u7版本修复了这一漏洞,但Java 7u7版本又被指出存在安全漏洞。
Via CNET
AppSec公司开发者Esteban Martinez Fayo在一个安全会议上展示了他的研究成果,他在一个普通PC上,通过一个特殊工具,在5个小时内获取了数据库中的数据。
Fayo称,这非常简单,攻击者只需知道数据库的名称,以及该数据库的一个有效的用户名就行。
Fayo发现Oracle密码验证机制中存在一个加密缺陷,攻击者可以很容易的破解,不需要使用“中间人攻击”模式来欺骗用户,就可以使服务器直接向攻击者泄露重要的信息。
Fayo的团队在2010年5月份首次将这个漏洞告诉甲骨文公司,甲骨文在2011年进行了修复。但是,甲骨文并没有修复当前的数据库版本,11.1和11.2版本仍可能会遭到攻击。最新发布的v12版本中也没有修复这个问题。
Fayo称,可以在11.1中禁用协议,或使用老的版本,如10g。这是目前防止攻击的最有效的解决方法,对于部署Oracle数据库的组织来说至关重要。
甲骨文目前还未对这一消息发表评论。
在上个月底,甲骨文的Java 7全系产品也曾爆出安全漏洞,随后甲骨文发布了Java 7u7版本修复了这一漏洞,但Java 7u7版本又被指出存在安全漏洞。
Via CNET
推荐阅读