Your browser does not support JavaScript!
:::
:::
甲骨文資料庫認驗證協定存有弱點

知名資安公司AppSec Inc.的研究人員Esteban Martinez Fayo, 2012/9/20於阿根廷首都布宜諾斯艾利斯所舉辦的拉丁美洲年度資安盛會Ekoparty Security Conference中,以一支自行撰寫的攻擊程式,攻擊甲骨文(Oracle)資料庫的認驗證協定,證實其研究團隊所發現的Oracle系統弱點確實存在,且可以被利用來取得資料庫權限,竊取資料庫內的資料。Mr. Fayo 表示,攻擊者只要有任何一個有效帳號與資料庫名稱,即可對資料庫暗中進行暴力破解密碼攻擊。攻擊者僅需要以一般登入程序即可啟動攻擊,取得資料庫密碼雜湊(Password Hash)檔案,進行暴力破解。且因為是正常登入程序,所以不會有任何異常紀錄。Mr. Fayo指出,其研究團隊於2010/5就發現該弱點並通知Oracle,Oracle於2011年中發布新版本資料庫11.2.0.3,更新了資料庫認驗證協定,但直至目前為止,並未對較舊的版本如11.1與11.2提供修補程式。Oracle 發言人於會後,針對此弱點發表聲明,表示因為新版11.2.0.3資料庫認驗證協定並不支援舊版11.x的資料庫,所以Oracle 請所有客戶,儘速更新其資料庫版本至11.2.0.3。另外,也可以停用版本11.x的認驗證機制,使用沒有該弱點的10g版本認驗證機制登入資料庫。


資料來源:
Dark Reading
http://www.darkreading.com/authentication/167901072/security/application-security/240007643/attack-easily-cracks-oracle-database-passwords.htm

瀏覽數  
將此文章推薦給親友
請輸入此驗證碼
Voice Play
更換驗證碼
最後更新日期
2017-11-23