Oracle安全研究机构—红色数据库安全股份有限公司,在Oracle公司的Metalink知识库中搜索到42处程序漏洞记录,有一些甚至是严重的。他们断定这使得黑客能够使用类似“Google攻击”的手法来搜寻Oracle出现漏洞的数据库的敏感信息,例如顾客的电子邮件,数据库配置,测试用例等。
红色数据库安全股份有限公司的Alexander Kornbrust通过电子邮件从德国谈到:“42小时内我搜索到42处程序漏洞存在安全隐患(例如:拒绝服务、SQL注入攻击)。”“在搜索到42处漏洞后,我停止了步伐,”他在向Oracle报告了这些漏洞后说。
Kornbrust说,这些漏洞没有被Oracle最新安全补丁所包括。虽然尚不清楚哪些和多少Oracle雇员已经有权搜索全球技术知识库并用已知漏洞来侵入,但一位发言人的确在报告中指出了些错误。在这事公诸于众时,Oracle官方却没有任何反应。
据传闻,Oracle已经关闭了红色数据库安全公司研究中列出的论坛入口。包括,例如,在一份2004年10月的报告中,Oracle用户解释了以下的系统漏洞:当执行计划任务时,用户在操作系统文件。也就是说用户非法提高了使用权。根据Kornbrust的研究,此报告在搜索了安全漏洞后有了回应。用户报告一针见血地指出在漏洞是如何在人们不注意时成为被利用方。
Metalink攻击相似于Google攻击(既把Google用做黑客工具来盗取信息),比如说:易受攻击的服务器、携带太多信息(甚至包括密码)的错误消息都是其攻击的对象。它创造了大量—‘怎么黑’的黑客指导,例如下面这个网站johnnyihackstuff.com。
Metalink攻击像侵入者病毒,但它属于私有域而非公共域。因为只有购买了合同支持的Oracle客户与授权Oracle支持工作人员在基于机密受知制度上才能使用。
Kornbrust发现搜索字符串将返回敏感信息,包含“黑客”、“攻击”、“SQL指令植入式攻击”、“跨站脚本执行漏洞”、“缓冲区溢出漏洞”、“拒绝服务攻击”、“碰撞溢出漏洞”、“中断”以及其他一些。
安全专家说, Oracle已经在其Metalink论坛建立起来的如此丰富的知识库,使得这些弱点更加突出。
一家数据库安全公司Application Security的首席技术官兼共同创始人Aaron Newman说:“这些Google攻击、Yahoo攻击之类的黑客攻击……确实成为了过去6-12个月的热点话题。这些Google攻击、Yahoo攻击的思想—[Kornbrust]将被运用到Oracle自己的半内部数据库中。我想你可以在在微软内部漏洞数据库或IBM的DB2内部漏洞数据库做同样的事,但……在Oracle上Metalink是很好的信息来源。我不认为其他产品有与此相似的内容。
Newman说:“它是很好的信息来源,但也是大量安全信息的泄漏源,它是把双刃剑。”
Newman说:“Kornbrust研究记录中讨论的大多数惊人的安全漏洞包括监听器密码保护问题。监听器是在客户端与数据库之间的一项代理。当你连接一个数据库时,你先连接到监听器,监听器再把你传到数据库中。在默认情况下,在Oracle9i以及其他早期版本上的监听器没有设置密码。”
Newman说:“这些早期版本的监听器没有设置密码,有人就可以完全控制数据库。”正因如此在互连网上有很多监听器攻击工具提供。
Newman说:“虽然监听器问题被人们已知多年,但它并没意味着所有前—10g版本都打了补丁,而且主要的Oracle动态数据库确实是10g之前的。”
在Kornbrust研究记录中,他在2005年1月让用户和Oracle雇员进行了一次对话,以便得知用户是否需要对监听器设置密码保护。
[1] [2]
Oracle雇员的答案是:“具我所知没人希望在监听器里使用密码保护。我过去常常在和客户工作时第一个关掉它。”
Kornbrust称它为Oracle雇员那里来的可笑解释,“我相信她不清楚,通过一个未受保护的监听器是多么容易控制数据库或摧毁数据库。”
对话中,Oracle雇员仍然强调监听器密码保护对数据库安全的重要性。然而,Newman说,一想到Oracle雇员们曾经习惯关掉它就令人毛骨悚然。
Newman说:“Kornbrust所提出的是依据一个Metalink雇员所说,‘一有人打开监听器,我就关掉密码保护’。这就意味着雇员在Oracle中关掉了安全保护,留下了一个大而宽的漏洞。这不禁让人想起一句话‘嘿,人们需要考虑安全的重要性了’。如果Oracle雇员在外关掉安全保护,那还真有点恐怖。
在英国专门从事Oracle与安全性的PeteFinnigan.com有限公司的创始人,Pete Finnigan说他觉得雇员的解释令人可笑、可悲、担心。
Finnigan在电子邮件中写到:“对Oracle来说这是个严重的问题,实际上是爆炸性的问题!甚至影响到其他或大或小的公司,在为客户使用公众知识库搜索过程的安全性……安全正成为普遍的问题,研究人员与电脑黑客们同样将到处找程序漏洞。公司需要非常小心他们写下的、发布的。他们也需要过滤所有从安全部门输入的以确保安全漏洞没有在这种方式下公众性爆发。
同时,Kornbrust在他的研究记录中警告,Metalink的使用者也应该进行预防,尽量在论坛中使用免费网页邮箱。他还建议Oracle顾客在记录到Metalink之前使用匿名配置文件并在记录内容之前删除密码。
Kornbrust还建议,如果Metalink使用者要向Oracle报告漏洞,他们应该思考这些漏洞的安全相关危险的可能性,判断是否有必要逐步增加问题程度。他写到,“即使这要花费附加时间,但从长远看它让Oracle更安全。”
(出处:http://www.sheup.com)
[1] [2]
(出处:http://www.sheup.com)
[1] [2] [3]