Oracle 数据库存严重漏洞 将方便黑客侵入

    全球最大的数据库软件公司甲骨文日前被一些专家披露，称其一些数据库的登录系统中存在严重漏洞，这便给黑客进行检索和篡改数据信息打开了方便之门。据发现该漏洞的应用安全中心（Application Security）研究员艾斯特万-菲约（Esteban Martinez Fayo）称，该漏洞存在于甲骨文数据库版本11.1和11.2的服务器中，遭遇黑客强力攻击后，便会认可认证完成。如果成功的话，黑客便能获取进入其数据库的机会。

    据米尼克安全咨询中心（Mitnick Security Consulting）创始人凯文-米尼克（Kevin Mitnick）称：“认证方面有非正规路径是非常严重的问题。这样，黑客就能进入数据库，甚至可能篡改数据。”

据了解，由于认证规约保护会话密钥的方式使会话密钥存在漏洞风险较高，而会话密钥是在认证程序结束前便传达至用户的，因此利用这样的漏洞，黑客便能远程通过会话密钥而连接寻找到相应的用户密码。

    菲约称：“一旦这样的行为发生，黑客们每秒便能尝试上百万个密码，直到寻找到正确的那个，于是他们就能强力攻击会话密钥了。”

    更糟糕的是，因为侵袭行为在认证结束前便能完成，服务器上也不会有任何登录失败的记录，因此在不发生大动静的情况下黑客便能获取入侵的机会。

据悉，目前甲骨文公司对此消息还未予置评。

载自: cnbeta