全球最大的數(shù)據(jù)庫軟件公司甲骨文日前被一些專家披露，稱其一些數(shù)據(jù)庫的登錄系統(tǒng)中存在嚴重漏洞，這便給黑客進行檢索和篡改數(shù)據(jù)信息打開了方便之門。據(jù)發(fā)現(xiàn)該漏洞的應用安全中心（Application Security）研究員艾斯特萬-菲約（Esteban Martinez Fayo）稱，該漏洞存在于甲骨文數(shù)據(jù)庫版本11.1和11.2的服務器中，遭遇黑客強力攻擊后，便會認可認證完成。如果成功的話，黑客便能獲取進入其數(shù)據(jù)庫的機會。

      據(jù)米尼克安全咨詢中心（Mitnick Security Consulting）創(chuàng)始人凱文-米尼克（Kevin Mitnick）稱：“認證方面有非正規(guī)路徑是非常嚴重的問題。這樣，黑客就能進入數(shù)據(jù)庫，甚至可能篡改數(shù)據(jù)?！?/p>

      據(jù)了解，由于認證規(guī)約保護會話密鑰的方式使會話密鑰存在漏洞風險較高，而會話密鑰是在認證程序結(jié)束前便傳達至用戶的，因此利用這樣的漏洞，黑客便能遠程通過會話密鑰而連接尋找到相應的用戶密碼。

      菲約稱：“一旦這樣的行為發(fā)生，黑客們每秒便能嘗試上百萬個密碼，直到尋找到正確的那個，于是他們就能強力攻擊會話密鑰了?！?/p>

      更糟糕的是，因為侵襲行為在認證結(jié)束前便能完成，服務器上也不會有任何登錄失敗的記錄，因此在不發(fā)生大動靜的情況下黑客便能獲取入侵的機會。

      據(jù)悉，目前甲骨文公司對此消息還未予置評。

稿源:cnBeta.COM

• 

  廣告合作

• 

  QQ群號：4114653