新駭客手法可能陷甲骨文資料庫於攻擊險境

| | | | | | 留下回應

    

一種新攻擊技巧可能讓常見於甲骨文資料庫軟體的瑕疵風險性大增，安全研究人員警告。

過去一般認為攻擊者需要取得資料庫上的高階權限才能執行所謂的PL SQL injection弱點攻擊。不過NGS Software資訊安全專家David Litchfield周四在Black Hat DC大會上說，那可不見得。

「攻擊者只要具備最低權限，就可以用這種技倆全權控制資料庫伺服器，」Litchfield在接受訪問時說到。「你可以用它來入侵一堆你過去以為不重要的弱點。」

長期研究甲骨文(Oracle)的Litchfied在上周公佈的報告中稱呼這種技巧為「cursor injection」而使用該技倆的攻擊程式也已出現，Litchfield說。

甲骨文也發出聲明稿指出，該公司已注意到新的攻擊手法。

「NGS Software的《Cursor Injection》報告指出新手法可能協助攻擊者入侵SQL injection的弱點，」資料庫軟體大廠說。甲骨文已提醒客戶安裝防範的修補程式。

過去PL SQL injection瑕疵都要求具備資料庫上的「製作程序(create procedure)」的權限，這種權限只有少部份使用者才有。而使用cursor injection手法，任何人只要連上資料庫就可以發動攻擊，Litchfield說。

「它是把預先編譯(compile)好的cursor注入有瑕疵的PL SQL物件中以遂攻擊目的，」Litchfield在報告中指出。「本研究目的在顯示所有SQL injection瑕疵都只要create session的權限就可以加以入侵。」

未來甲骨文不應再讓權限要求成為延後修補PL SQL瑕疵的因素，Litchfield說。甲骨文的客戶可能因延宕安裝修補程式而身陷危險之中，他說。「規避修補該瑕疵的藉口已經沒有了，」Litchfield說。

甲骨文幾年來常和安全研究人員發生爭執，不過現在已改過向善，願意誠實面對產品安全流程的問題。一月甲骨文開始為季度修補程式發出事前通知。去年十月，該公司首度在通報中加入嚴重性等級。（鍾翠玲/譯）