甲骨文意外泄漏數據庫安全漏洞

2024-07-21 02:38:37

字體：大中小

來源：轉載

供稿：網友

甲骨文的下一次重要的補丁更新還有一個星期才能發布。但是，甲骨文數據庫的用戶已經有一個安全漏洞需要擔心了。而這個安全漏洞似乎是甲骨文自己意外泄漏的。據德國Red-Database-Security GmbH公司聞名的數據庫安全研究人員和業務經理Alexander Kornbrust說，甲骨文在其MetaLink客戶技術支持網站上意外刊登了介紹這個安全漏洞文章，內容還包括如何利用這個安全漏洞。 Kornbrust在Red-Database-Security網站上發表的一個帖子說，甲骨文4月6日在MetaLink網站上發表了一篇文章，具體介紹了一個沒有修補的安全漏洞以及利用這個安全漏洞的代碼。這個安全漏洞影響到從9.2.0.0至10.2.0.3版的所有版本的甲骨文數據庫軟件。他說，這篇文章還出現在MetaLink網站的每日要聞欄目中，并且發送給了每日要聞欄目的訂閱用戶。他說，這種“高風險、升級權限”的安全漏洞發生在甲骨文數據庫處理有權限的用戶制作的某些視圖時發生的錯誤引起的。獲得“SELECT”權限的惡意用戶能夠利用這個安全漏洞嵌入、更新或者刪除任意的代碼。 http://searchsecurity.techtarget.com.cn/206/2367706.sHtml聞名的安全漏洞清除機構法國安全事件反應小組分析了這個安全漏洞并且發布了自己的安全公告，把這個安全漏洞列為中等危險的漏洞。 Kornbrust說，在知道了這個安全漏洞之后，他用電子郵件向甲骨文通報了有關這篇泄漏安全漏洞的那篇文章。然后，甲骨文刪除了MetaLink網站上的那篇文章。他在Red-Database-Security網站上批評甲骨文的這種做法。他說，這樣泄漏安全漏洞通常會傷害到其他人。他說，甲骨文通常批評個人或者企業發布有關甲骨文的安全漏洞信息。但是，這一次，甲骨文在MetaLink網站上不僅具體介紹了這個安全漏洞而且還提供了利用這個安全漏洞的代碼。甲骨文發言人沒有立即對提供評論的要求給予答復。但是，Kornbrust表示，甲骨文已經對他說將來發布的重要補丁將修復這個安全漏洞。甲骨文下一次發布重要補丁更新的發布時間是在4月18日星期二。Kornbrust對甲骨文能夠在那個時候修復這個安全漏洞表示懷疑。在這個安全漏洞被修復之前，Kornbrust建議可以采取如下繞過漏洞的措施：采取措施保證連接角色（connect role）的安全并且從中刪除“CREATE VIEW”（創建視圖）和“CREATE DATABASE LINK”（創建數據庫鏈接）的權限。從數據庫表中刪除主要鍵值也是一種選擇，不過，這樣會引起這個數據庫應用程序的性能和完整性問題。

上一篇：RFID技術與中國自主產品對接

下一篇：維珍航空聯合甲骨文TCS開RFID試驗