新黑客技巧可能導致Oracle發生泄露
2024-08-29 13:51:27
供稿:網友
一名安全研究人員警告說,一種新的攻擊技巧增加了Oracle數據庫軟件中常見漏洞的風險。 過去,人們一般認為攻擊者需要取得數據庫的高級權限才能利用所謂的PL SQL注入脆弱性。不過NGS Software信息安全專家David Litchfield周四在Black Hat DC大會上說,一種新的攻擊技巧改變了這一事實。 “攻擊者只要具備最低權限,就可以用這種技巧完全控制數據庫服務器,”Litchfield在接受訪問時說:“你可以用它來入侵許多你過去認為并不重要的漏洞。” 長期研究Oracle軟件的Litchfied于上周在Black Hat DC大會上公開發表一篇論文,具體討論這種他稱為“指針注入”(cursor injection)的技巧,利用該技巧的攻擊代碼實例已經出現,Litchfield說。 Oracle也發出聲明指出,該公司已注重到這種新的攻擊手段。 “NGS Software的‘Cursor Injection’論文說明了一種可能協助攻擊者利用SQL注入脆弱性的技巧,”這家數據庫開發商稱。Oracle強烈要求客戶安裝它提供的補丁修復已知的漏洞。 過去,PL SQL注入漏洞通常要求攻擊者具有數據庫的“建立程序”(create PRocedure)權限,大多數用戶都沒有這種權限。而使用指針注入技巧,任何人只要連接數據庫就可以利用這種漏洞,Litchfield說。 “它通過將預先編譯的指針注入易受攻擊的PL SQL對象中達到攻擊目的,”Litchfield在論文中指出,“本研究目的在于說明,所有SQL注入漏洞不需要任何系統權限(‘建立會話’權限除外)就可以加以充分利用。” 以后,Oracle不應再把權限要求作為延遲修復PL SQL漏洞的理由,Litchfield說。Oracle的客戶可能會因延遲安裝補丁而身陷危險之中,他說。“現在,不給這個非凡的漏洞打補丁的借口已經不再存在,”Litchfield說。 盡管Litchfield認為他的發現增加了許多Oracle脆弱性的嚴重程度,但另一位聞名數據庫安全研究員并不同意他的觀點。 “Davids指出的例子僅適用于某名用戶在一個高權限的賬戶中使用非凡的權限和動態語句建立一個易受攻擊的數據包的情況,”治理德國Red Database Security公司的Alexander Kornbrust指出:“我在審查PL SQL源代碼時從未發現這種情況,而且我還檢查了許多用戶和公司的PL SQL源代碼。” Oracle幾年來常和安全研究人員發生摩擦。不過,公司已經做出改變,愿意老實面對產品安全流程中存在的問題。一月,Oracle開始提前通知每季的補丁發布情況。去年十月,該公司首次在通報中加入嚴重等級。
