一種新攻擊技巧可能讓常見于甲骨文數(shù)據庫軟件的瑕疵風險性大增，安全研究人員警告。

過去一般認為攻擊者需要取得數(shù)據庫上的高端權限才能執(zhí)行所謂的PL SQL injection弱點攻擊。不過NGS Software信息安全專家David Litchfield上周四在Black Hat DC大會上說，那可不見得。

“攻擊者只要具備最低權限，就可以用這種技倆全權控制數(shù)據庫服務器，”Litchfield在接受訪問時說到�！澳憧梢杂盟鼇砣肭忠欢涯氵^去以為不重要的弱點�！�

長期研究甲骨文(Oracle)的Litchfied在上周公布的報告中稱呼這種技巧為“cursor injection”而使用該技倆的攻擊程序也已出現(xiàn)，Litchfield說。

甲骨文也發(fā)出聲明稿指出，該公司已注意到新的攻擊手法。

“NGS Software的《Cursor Injection》報告指出新手法可能協(xié)助攻擊者入侵SQL injection的弱點，”數(shù)據庫軟件大廠說。甲骨文已提醒客戶安裝防范的補丁程序。

過去PL SQL injection瑕疵都要求具備數(shù)據庫上的“制作程序(create procedure)”的權限，這種權限只有少部份使用者才有。而使用cursor injection手法，任何人只要連上數(shù)據庫就可以發(fā)動攻擊，Litchfield說。

“它是把預先編譯(compile)好的cursor注入有瑕疵的PL SQL對象中以遂攻擊目的，”Litchfield在報告中指出�！氨狙芯磕康脑陲@示所有SQL injection瑕疵都只要create session的權限就可以加以入侵�！�

未來甲骨文不應再讓權限要求成為延后修補PL SQL瑕疵的因素，Litchfield說。甲骨文的客戶可能因延宕安裝修補程序而身陷危險之中，他說�！耙�(guī)避修補該瑕疵的借口已經沒有了，”Litchfield說。

甲骨文幾年來常和安全研究人員發(fā)生爭執(zhí)，不過現(xiàn)在已改過向善，愿意誠實面對產品安全流程的問題。一月甲骨文開始為季度補丁程序發(fā)出事前通知。去年十月，該公司首度在通報中加入嚴重性等級。

標簽： 安全 服務器 權限 數(shù)據庫 信息安全

版權申明：本站文章部分自網絡，如有侵權，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權歸原作者所有，如需使用，請與原作者聯(lián)系。