黑客新攻击手法威胁甲骨文数据库缺陷〓华西安全联盟华西黑客联盟〓 >> —

安全研究人员警告，一种新的攻击技巧可能让常见于甲骨文库软件的缺陷面临更大的风险。过去一般认为攻击者需要取得库上的高端权限才能执行所谓的PLSQLinjection弱点攻击，不过NGSSoftware的信息安全专家DavidLitchfield上周四在BlackHatDC大会上指出这并不是绝对的。 “攻击者只要具备最低权限，就可以用这种技俩全权控制库器，”Litchfield在接受访问时说，“你可以用它来入侵一堆你过去以为不重要的弱点。” 长期研究甲骨文(Oracle)的Litchfied在上周公布的报告中称呼这种技巧为“cursorinjection”而使用该技俩的攻击程序也已出现，Litchfield说。甲骨文也发出声明稿指出，该公司已注意到这种新的攻击手法。 “NGSSoftware的《CursorInjection》报告指出新手法可能协助攻击者入侵SQLinjection的弱点，”库软件大厂说。甲骨文已提醒客户安装防范的补丁程序。 Litchfield谈到，过去PLSQLinjection瑕疵都要求具备库上的“制作程序(createprocedure)”的权限，这种权限只有少部份使用者才有。而使用cursorinjection手法，任何人只要连上库就可以发动攻击。 “它是把预先编译(compile)好的cursor注入有瑕疵的PLSQL对象中以遂攻击目的，”Litchfield在报告中指出。“本研究目的在显示所有SQLinjection瑕疵都只要createsession的权限就可以加以入侵。” 未来甲骨文不应再让权限要求成为延后修补PLSQL瑕疵的因素，甲骨文的客户可能因延宕安装修补程序而身陷危险之中，“规避修补该瑕疵的借口已经没有了，”Litchfield说。甲骨文几年来常和安全研究人员发生争执，不过现在已改过向善，愿意诚实面对产品安全流程的问题。一月甲骨文开始为季度补丁程序发出事前通知。去年十月，该公司首度在通报中加入严重性等级。