华翼欧洲 | 荷兰站 | 比利时站 | 时尚休闲 | 欧洲旅游 | 新闻中心 | 多语种字典 | 游戏中心 
国际新闻 中国新闻 财经金融 科技教育 医药健康 文化娱乐 荷兰新闻 比利时新闻

新黑客手法:恐陷甲骨文数据库于攻击险境
华翼网新闻中心 news.chinesewings.com - 科学教育校园新闻) 2007-03-05
  一种新攻击技巧可能让常见于甲骨文数据库软件的瑕疵风险性大增,安全研究人员警告。  (www.chinesewings.com)

  过去一般认为攻击者需要取得数据库上的高端权限才能执行所谓的PL SQL injection弱点攻击。不过NGS Software信息安全专家David Litchfield上周四在Black Hat DC大会上说,那可不见得。 

  “攻击者只要具备最低权限,就可以用这种技俩全权控制数据库服务器,”Litchfield在接受访问时说到。“你可以用它来入侵一堆你过去以为不重要的弱点。” 

  长期研究甲骨文(Oracle)的Litchfied在上周公布的报告中称呼这种技巧为“cursor injection”而使用该技俩的攻击程序也已出现,Litchfield说。 

  甲骨文也发出声明稿指出,该公司已注意到新的攻击手法。 

  “NGS Software的《Cursor Injection》报告指出新手法可能协助攻击者入侵SQL injection的弱点,”数据库软件大厂说。甲骨文已提醒客户安装防范的补丁程序。 

  过去PL SQL injection瑕疵都要求具备数据库上的“制作程序(create procedure)”的权限,这种权限只有少部份使用者才有。而使用cursor injection手法,任何人只要连上数据库就可以发动攻击,Litchfield说。 

  “它是把预先编译(compile)好的cursor注入有瑕疵的PL SQL对象中以遂攻击目的,”Litchfield在报告中指出。“本研究目的在显示所有SQL injection瑕疵都只要create session的权限就可以加以入侵。” 

  未来甲骨文不应再让权限要求成为延后修补PL SQL瑕疵的因素,Litchfield说。甲骨文的客户可能因延宕安装修补程序而身陷危险之中,他说。“规避修补该瑕疵的借口已经没有了,”Litchfield说。 

  甲骨文几年来常和安全研究人员发生争执,不过现在已改过向善,愿意诚实面对产品安全流程的问题。一月甲骨文开始为季度补丁程序发出事前通知。去年十月,该公司首度在通报中加入严重性等级。
相关新闻
中国网通与Google合作宽带搜索 嵌入宽带网页
荷兰两名僵尸网络黑客被判入狱和罚款
去年中国搜索引擎市场规模近17亿 较上年增4成
互联网有助语言保护
中国网络经济将快于西方
06年中国互联网站品牌栏目
图文:2006年中国互联网10大创新模式
图文:Google 拒绝向美国政府提供用户资料
互联网色情问题Google可能遭遇第二轮传讯
日本经济新闻:活力门前社长崛江贵文周一将被起诉
一个可怕的想象寓言:互联网会不会消亡?
日本网上相约自杀数量攀升
Google捞钱出新招 结合电邮与实时通力推Gmail Chat
增加收入来源 RealNetworks 购荷兰游戏公司 Zylom
报告:网络滥用始于中小学生

新闻资讯

美国宣布加大海洋保护力度 扩大太平洋保护范围
天文学家发现“巨型地球”
欧盟小麦出口量将超越美国 居全球首位
中国发现约1.6亿年前的哺乳动物祖先化石
健康调查:美国民众肥胖率上升 达到1/4
人口普查结果显示 澳门居住人口密度居世界前列
欧洲拟斥数亿造两艘太空船 用于研究小行星
世界上最早的女子足球诞生在中国唐代
香港大学面向内地招生人数减少 学费有所上涨
研究:奇特脂质使皮肤防水
中国成澳洲第二大旅游市场
每周快走2.5小时增7年寿命
英国高校招收中国留学生看重学术和文化素质
数据显示加拿大移民捐款额高于本地出生者35%
考古学家首次探明陕西秦始皇祖陵陵园整体布局
阿根廷研制出抗干旱大豆
美国研究新型计算机技术 性能提高八倍
看重美国工作经验 众多中国留学生毕业在美求职
硅尘增患癌症和心脏病风险
全球最宜经商地排行 新西兰第一 香港第三
研究指充足的睡眠有助减肥
图文:中国出国留学生人数居世界第一位 九成自费
中国发现全球现存最古老的天文观测仪器实物

热点新闻

法国移民人数近700万 占总人口逾一成
荷兰皇家航空(KLM)公司开辟阿姆斯特丹至厦门直航
德国科学家研究发现:短暂睡眠有助提高大脑记忆
荷兰奶产品品质锻造过程
意大利提移民最低收入标准
图文:中国在海外留学生超127万人 成世界最大生源国
英国女王登广告招聘洗碗工 年薪14200英镑
米饭比面包更加有益健康
华翼新闻搜索