國外媒體報道��,全球最大的數據庫軟件公司甲骨文日前被一些專(zhuān)家披露�,稱(chēng)其一些數據庫的登錄系統中存在嚴重漏洞�,這便給黑客進(jìn)行檢索和篡改數據信息打開(kāi)了方便之門(mén)��。
發(fā)現該漏洞的應用安全中心(Application Security)研究員艾斯特萬(wàn)-菲約(Esteban Martinez Fayo)稱(chēng)���,該漏洞存在于甲骨文數據庫版本11.1和11.2的服務(wù)器中�����,遭遇黑客強力攻擊后����,便會(huì )認可認證完成����。如果成功的話(huà)��,黑客便能獲取進(jìn)入其數據庫的機會(huì )�����。
米尼克安全咨詢(xún)中心(Mitnick Security Consulting)創(chuàng )始人凱文-米尼克(Kevin Mitnick)稱(chēng):“認證方面有非正規路徑是非常嚴重的問(wèn)題�����。這樣�����,黑客就能進(jìn)入數據庫���,甚至可能篡改數據�����。”
據了解��,由于認證規約保護會(huì )話(huà)密鑰的方式使會(huì )話(huà)密鑰存在漏洞風(fēng)險較高��,而會(huì )話(huà)密鑰是在認證程序結束前便傳達至用戶(hù)的��,因此利用這樣的漏洞����,黑客便能遠程通過(guò)會(huì )話(huà)密鑰而連接尋找到相應的用戶(hù)密碼��。
菲約稱(chēng):“一旦這樣的行為發(fā)生���,黑客們每秒便能?chē)L試上百萬(wàn)個(gè)密碼���,直到尋找到正確的那個(gè)��,于是他們就能強力攻擊會(huì )話(huà)密鑰了�����。”
更糟糕的是��,因為侵襲行為在認證結束前便能完成����,服務(wù)器上也不會(huì )有任何登錄失敗的記錄�,因此在不發(fā)生大動(dòng)靜的情況下黑客便能獲取入侵的機會(huì )����。
據悉��,目前甲骨文公司對此消息還未予置評����。
