據(jù)發(fā)現(xiàn)該漏洞的應(yīng)用安全中心（Application Security）研究員艾斯特萬(wàn)-菲約（Esteban Martinez Fayo）稱，該漏洞存在于甲骨文數(shù)據(jù)庫(kù)版本11.1和11.2的服務(wù)器中，遭遇黑客強(qiáng)力攻擊后，便會(huì)認(rèn)可認(rèn)證完成。如果成功的話，黑客便能獲取進(jìn)入其數(shù)據(jù)庫(kù)的機(jī)會(huì)。

9月25日消息，據(jù)國(guó)外媒體報(bào)道，全球最大的數(shù)據(jù)庫(kù)軟件公司甲骨文日前被一些專家披露，稱其一些數(shù)據(jù)庫(kù)的登錄系統(tǒng)中存在嚴(yán)重漏洞，這便給黑客進(jìn)行檢索和篡改數(shù)據(jù)信息打開(kāi)了方便之門。

據(jù)發(fā)現(xiàn)該漏洞的應(yīng)用安全中心（Application Security）研究員艾斯特萬(wàn)-菲約（Esteban Martinez Fayo）稱，該漏洞存在于甲骨文數(shù)據(jù)庫(kù)版本11.1和11.2的服務(wù)器中，遭遇黑客強(qiáng)力攻擊后，便會(huì)認(rèn)可認(rèn)證完成。如果成功的話，黑客便能獲取進(jìn)入其數(shù)據(jù)庫(kù)的機(jī)會(huì)。

據(jù)米尼克安全咨詢中心（Mitnick Security Consulting）創(chuàng)始人凱文-米尼克（Kevin Mitnick）稱：“認(rèn)證方面有非正規(guī)路徑是非常嚴(yán)重的問(wèn)題。這樣，黑客就能進(jìn)入數(shù)據(jù)庫(kù)，甚至可能篡改數(shù)據(jù)。”

據(jù)了解，由于認(rèn)證規(guī)約保護(hù)會(huì)話密鑰的方式使會(huì)話密鑰存在漏洞風(fēng)險(xiǎn)較高，而會(huì)話密鑰是在認(rèn)證程序結(jié)束前便傳達(dá)至用戶的，因此利用這樣的漏洞，黑客便能遠(yuǎn)程通過(guò)會(huì)話密鑰而連接尋找到相應(yīng)的用戶密碼。

菲約稱：“一旦這樣的行為發(fā)生，黑客們每秒便能嘗試上百萬(wàn)個(gè)密碼，直到尋找到正確的那個(gè)，于是他們就能強(qiáng)力攻擊會(huì)話密鑰了。”

更糟糕的是，因?yàn)榍忠u行為在認(rèn)證結(jié)束前便能完成，服務(wù)器上也不會(huì)有任何登錄失敗的記錄，因此在不發(fā)生大動(dòng)靜的情況下黑客便能獲取入侵的機(jī)會(huì)。

據(jù)悉，目前甲骨文公司對(duì)此消息還未予置評(píng)。

　　推薦閱讀

　　蘋(píng)果將收購(gòu)AuthenTec 指紋技術(shù)停止授權(quán)

AuthenTec目前的顧客將不得不尋找新的指紋安全供應(yīng)商，但AuthenTec公司持有大量的知識(shí)產(chǎn)權(quán)，而且似乎市場(chǎng)上并沒(méi)有能完全替代AuthenTec公司的選擇。很多分析人士認(rèn)為蘋(píng)果將在移動(dòng)設(shè)備上使用AuthenTec的指紋識(shí)別系統(tǒng)，>>>詳細(xì)閱讀

本文標(biāo)題：甲骨文數(shù)據(jù)庫(kù)被爆登錄系統(tǒng)存嚴(yán)重漏洞

地址：http://m.sdlzkt.com/a/xie/20120201/115180.html

 1/2    1  2 下一頁(yè)