甲骨文数据库缺陷被认为是严重的,可能会暴露数据

借助暴力攻击,入侵者可以获得访问权限

一些Oracle数据库具有专家所说的登录系统中的一个严重缺陷,黑客可以使用该缺陷来检索和更改存储的数据。

缺陷,在 甲骨文数据库11g 发现安全漏洞的应用程序安全研究人员Esteban Martinez Fayo表示,版本1和2释放了服务器在完成身份验证之前提供的令牌,以进行蛮力攻击。如果成功,则攻击者可以访问数据库。

著名的白帽黑客,Mitnick安全咨询公司的创始人Kevin Mitnick在一封电子邮件中说:“认证绕过是相当严重的。” “基本上,攻击者可以获取存储在数据库中的数据,甚至可以对其进行更改。”

该漏洞源自身份验证协议保护会话密钥的方式。当客户端连接到数据库服务器时,将发送带有密钥的会话密钥。因为这是在身份验证过程完成之前发生的,所以远程工作的黑客可以将密钥链接到特定的密码哈希。

“一旦攻击者拥有一个会话密钥和一个盐,攻击者就可以通过每秒尝试数百万个密码直到找到正确的密码,对会话密钥进行暴力攻击。” 告诉卡巴斯基实验室的 威胁柱 博客

由于黑客攻击是在身份验证完成之前发生的,因此服务器中不会​​记录任何登录失败,因此一个人可以获取访问权限而不会触发异常事件。

[也可以看看: 数据库安全性-处于静止状态,但没有风险]

Fayo说,没有回应置评请求的甲骨文修补了身份验证协议最新版本12中的漏洞。但是,该公司并未计划对该有缺陷的版本11.1进行修补。即使进行了升级,数据库管理员也必须将服务器配置为仅允许协议的新版本。

Cylance的安全研究员贾斯汀·克拉克(Justin Clarke)表示,由于该修复程序需要升级,因此该漏洞将困扰一些Oracle客户多年。

克拉克说:“有许多大型公司和重要的基础架构机构,他们没有时间或风险来升级其所有Oracle客户端和服务器。” “我可以肯定地说,只要Oracle 11g仍在使用,我们就会看到此漏洞。”

克拉克说,Oracle身份验证协议中以前的缺陷在安全行业中已经被妥善保管。 “很高兴看到这样的问题正在公开讨论,我希望这有助于唤醒Oracle及其用户深入了解并评估系统的实际实力。”

安全测试公司MicroSolved的首席执行官布伦特·休斯顿(Brent Huston)表示,即使公司阻止Internet访问易受攻击的数据库,数据仍然有受到内部攻击的风险。

休斯顿在一封电子邮件中说:“ 甲骨文选择将此补丁锁定为升级的选择,确实迫使那些拥有较长技术更新周期的组织付出了很大的努力,并且极大地限制了他们与Oracle作为供应商的信任关系。”

由于存在该漏洞,尚未升级数据库的客户将必须实施某种形式的保护,特别是如果它们受到监管机构的监督时,休斯顿说。

Fayo注意到客户端和服务器使用不同的错误密码处理登录后发现了此漏洞。仔细检查才发现了它。

Fayo周四在Ekoparty安全会议上讨论了该漏洞。

过去,Oracle与数据库缺陷作斗争。在一月, 信息世界 裸露 手动更改系统更改号(SCN)的方法,这可能会破坏数据库。 SCN是每笔交易的一种时间戳。如果数据库达到其事务限制,它可能会停止正常工作。

版权© 2012 IDG通讯,Inc.