时间:2010-08-14 | 栏目:安全播报 | 点击:次
北京时间3月2日消息,一位安全研究员日前发出警告,声称现在又出现了一种可以利用甲骨文公司数据库软件中的普通漏洞发起攻击的新型攻击技术,因此那些普通漏洞的隐患等级也相应提升了。
之前,业内安全专家们认为攻击者必须获得甲骨文数据库的高级权限才能利用其中的PL SQL漏洞。但是NGS Software公司的数据库安全专家大卫里奇菲尔德在星期四的时候在Black Hat DC会议上说,情况已经发生了变化,现在利用新的攻击技术已经不再需要高级权限就可以利用那个漏洞发起攻击了。
里奇菲尔德在接受采访时说:“只有最低权限的攻击者也可以利用那种技巧完全控制整个数据库服务器。那种技巧可以用于之前发现并被认为不甚重要的大量安全漏洞。”
里奇菲尔德在上周末发表的一篇论文中详细解释了这种技巧,并称之为“游标注入”技术。里奇菲尔德说,现在已经出现了利用这种技巧的攻击代码案例。
甲骨文公司发表声明称,它已经获悉了这种攻击技术。
甲骨文公司称:“NGS Software公司发表的游标注入论文解释了一种可能会协助攻击者利用SQL 注入漏洞发起攻击的新技巧。”甲骨文敦促用户尽快安装它已经发布的所有安全补丁,将已知的漏洞修复。
过去,要利用PL SQL注入漏洞进行攻击通常需要拥有“创建进程”的权限,而大部分用户是没有那个权限的。里奇菲尔德说,但是现在利用游标注入技术,接入数据库的任何人都可以利用那个漏洞了。
里奇菲尔德在论文中称:“这种技术是通过向存在漏洞的PL SQL对象注入预先编译过的游标来实现的。这项研究背后的意义将说明所有的SQL注入漏洞都可以在任何系统权限下被利用。”
里奇菲尔德说,甲骨文以后将不再将权限要求作为PL SQL漏洞降低评级的因素。他说,甲骨文公司客户可能会因为这些降低评级因素而推迟安装补丁的时间,从而让客户们处于风险隐患中。 里奇菲尔德说:“现在再也没有任何理由不去安装补丁了。”
在最近两年,甲骨文一直对业界安全研究员们持抵触态度。但是现在它已经开始转变态度并加强对其产品安全性的重视了。 甲骨文从一月份开始为其季度补丁升级发布预告了。它在去年十月份首次对补丁进行了严重性评级。