随着蛮力攻击,入侵者可以访问
一些Oracle数据库有专家说的是在登录系统,黑客可以用它来检索和更改存储的数据的一个严重缺陷。
该缺陷,在Oracle数据库11g第1版和2A'A树叶由服务器完成认证开放的蛮力攻击之前提供的令牌,埃斯特万·马丁内斯法约,应用程序安全研究员发现该漏洞说。如果成功的话,攻击者能够访问数据库。
“一个验证绕过是相当严重的,”凯文米特尼克,米特尼克安全咨询的知名白帽黑客和创始人在一封电子邮件中说。“基本上,攻击者可以获取存储在数据库中的数据,甚至改变它。”
该漏洞由认证协议保护会话密钥的方式造成的。当客户端连接到数据库服务器,会话密钥与盐发送。因为这种情况已完成认证过程之前,黑客远程工作可以链接的关键在于具体的密码哈希。
“一旦攻击者有一个会话密钥和盐,攻击者可以尝试每秒百万密码,直到找到正确执行的会话密钥的蛮力攻击,”法约toldA'A卡巴斯基Lab'sA'A Threatpost博客.A'A
由于认证完成之前发生的黑客,没有登录失败记录在服务器上,所以一个人可以访问而不会触发的异常事件。
[也可以看看:数据库安全 - 在休息,但不能以风险]
甲骨文,它没有回应记者的置评请求,修补缺陷的认证协议的最新升级版,12版。然而,该公司并不打算对有缺陷的版本,11.1补丁,法约说。即使升级,数据库管理员必须将服务器配置为只允许协议的新版本。
Cylance的安全研究员贾斯汀•克拉克(Justin Clarke)表示,由于修复需要升级,该漏洞将困扰甲骨文的一些客户多年。
“许多大公司和关键的基础设施机构无法承担升级所有Oracle客户和服务器的时间和风险,”Clarke说。“我可以几乎肯定地说,只要甲骨文11g仍在使用,我们就会看到这个漏洞。”
在Oracle的认证协议上一页缺陷已经在安防产业良好的保密,克拉克说。“我们很高兴地看到,像这样的问题正在公开讨论,我希望这有助于起到警钟的甲骨文及其用户的深度挖掘和评估体系的实力。”
布伦特休斯顿,安全测试公司MicroSolved的首席执行官说,即使一个公司可以防止Internet访问数据库的弱势,该数据仍处于从内部攻击的风险。
“甲骨文选择这个补丁锁定升级真正迫使较长的技术更新周期并提出了很多应变对他们与甲骨文作为供应商的信任关系,这些组织的手,”休斯顿在一封电子邮件中说。
由于该漏洞,即没有升级他们的数据库的客户将必须实现某种形式的保护,特别是如果他们是受监管部门的监督,休斯顿说。
法约注意到,在客户端和服务器处理不正确的密码登录不同后发现了这个漏洞。仔细观察导致发现。
法约在周四的Ekoparty安全会议上讨论了这个漏洞。
甲骨文争夺在过去的数据库漏洞。在一月,InfoWorld的发现了手动方法来改变系统改变号(SCN),这可能会破坏数据库。该SCN是对每一项交易是一种时间标记。如果数据库达到其交易限制,它可能无法正常工作。
了解更多关于应用安全在CSOonline的应用程序安全性部分。
这个故事,“Oracle数据库漏洞视为严重的,可以公开数据”最初发表方案 。