科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道甲骨文数据库遭受黑客新一轮攻击

甲骨文数据库遭受黑客新一轮攻击

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

过去一般认为攻击者需要取得数据库上的高端权限才能执行所谓的PL SQL injection弱点攻击。不过NGS Software信息安全专家David Litchfield上周四在Black Hat DC大会上说,那可不见得。

2007年9月27日

关键字: 甲骨文 黑客 数据库

  • 评论
  • 分享微博
  • 分享邮件

过去一般认为攻击者需要取得数据库上的高端权限才能执行所谓的PL SQL injection弱点攻击。不过NGS Software信息安全专家David Litchfield上周四在Black Hat DC大会上说,那可不见得。

“攻击者只要具备最低权限,就可以用这种技俩全权控制数据库服务器,”Litchfield在接受访问时说到。“你可以用它来入侵一堆你过去以为不重要的弱点。”

长期研究甲骨文(Oracle)的Litchfied在上周公布的报告中称呼这种技巧为“cursor injection”而使用该技俩的攻击程序也已出现,Litchfield说。

甲骨文也发出声明稿指出,该公司已注意到新的攻击手法。

“NGS Software的《Cursor Injection》报告指出新手法可能协助攻击者入侵SQL injection的弱点,”数据库软件大厂说。甲骨文已提醒客户安装防范的补丁程序。

过去PL SQL injection瑕疵都要求具备数据库上的“制作程序(create procedure)”的权限,这种权限只有少部份使用者才有。而使用cursor injection手法,任何人只要连上数据库就可以发动攻击,Litchfield说。

“它是把预先编译(compile)好的cursor注入有瑕疵的PL SQL对象中以遂攻击目的,”Litchfield在报告中指出。“本研究目的在显示所有SQL injection瑕疵都只要create session的权限就可以加以入侵。”

未来甲骨文不应再让权限要求成为延后修补PL SQL瑕疵的因素,Litchfield说。甲骨文的客户可能因延宕安装修补程序而身陷危险之中,他说。“规避修补该瑕疵的借口已经没有了,”Litchfield说。

甲骨文几年来常和安全研究人员发生争执,不过现在已改过向善,愿意诚实面对产品安全流程的问题。一月甲骨文开始为季度补丁程序发出事前通知。去年十月,该公司首度在通报中加入严重性等级。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章