考试辅导:
学历
外语
电脑
资格
建筑
会计
医药
技能
才艺
出国
管理
方法
全站导航:
资讯
作文
诗词
文学
励志
教材
板报
语文
数学
英语
物理
化学
生物
政治
地理
历史
考试
论文
范文
计划
国学
高校
短信
教程
English
简历
幼儿
字典
词典
成语
QQ
PPT
试题
课件
教案
求学网 >> 考试辅导 >> Oracle动态

甲骨文意外泄漏数据库安全漏洞

      甲骨文的下一次重要的补丁更新还有一个星期才能发布。但是,甲骨文数据库的用户已经有一个安全漏洞需要担心了。而这个安全漏洞似乎是甲骨文自己意外泄漏的。

    据德国Red-Database-Security GmbH公司著名的数据库安全研究人员和业务经理Alexander Kornbrust说,甲骨文在其MetaLink客户技术支持网站上意外刊登了介绍这个安全漏洞文章,内容还包括如何利用这个安全漏洞。

    Kornbrust在Red-Database-Security网站上发表的一个帖子说,甲骨文4月6日在MetaLink网站上发表了一篇文章,详细介绍了一个没有修补的安全漏洞以及利用这个安全漏洞的代码。这个安全漏洞影响到从9.2.0.0至10.2.0.3版的所有版本的甲骨文数据库软件。他说,这篇文章还出现在MetaLink网站的每日要闻栏目中,并且发送给了每日要闻栏目的订阅用户。

    他说,这种“高风险、升级权限”的安全漏洞发生在甲骨文数据库处理有权限的用户制作的某些视图时发生的错误引起的。获得“SELECT”权限的恶意用户能够利用这个安全漏洞嵌入、更新或者删除任意的代码。

    http://searchsecurity.techtarget.com.cn/206/2367706.shtml著名的安全漏洞清除机构法国安全事件反应小组分析了这个安全漏洞并且发布了自己的安全公告,把这个安全漏洞列为中等危险的漏洞。

    Kornbrust说,在知道了这个安全漏洞之后,他用电子邮件向甲骨文通报了有关这篇泄漏安全漏洞的那篇文章。然后,甲骨文删除了MetaLink网站上的那篇文章。他在Red-Database-Security网站上批评甲骨文的这种做法。他说,这样泄漏安全漏洞通常会伤害到其他人。

    他说,甲骨文通常批评个人或者企业发布有关甲骨文的安全漏洞信息。但是,这一次,甲骨文在MetaLink网站上不仅详细介绍了这个安全漏洞而且还提供了利用这个安全漏洞的代码。

    甲骨文发言人没有立即对提供评论的要求给予答复。但是,Kornbrust表示,甲骨文已经对他说将来发布的重要补丁将修复这个安全漏洞。甲骨文下一次发布重要补丁更新的发布时间是在4月18日星期二。Kornbrust对甲骨文能够在那个时候修复这个安全漏洞表示怀疑。

    在这个安全漏洞被修复之前,Kornbrust建议可以采取如下绕过漏洞的措施:

    采取措施保证连接角色(connect role)的安全并且从中删除“CREATE VIEW”(创建视图)和“CREATE DATABASE LINK”(创建数据库链接)的权限。从数据库表中删除主要键值也是一种选择,不过,这样会引起这个数据库应用程序的性能和完整性问题。

展开阅读全文

1 2 3 4

下载此内容:甲骨文意外泄漏数据库安全漏洞.docx

相关信息:

[软考]银行网站建设中数据库存储过程的调用

一、引言    随着人民银行中心支行计算机网络建设的逐步发展和内联网二期工程的落实到位,多数中心支行已建立了内部网络(Intranet),提供文件传输、电子邮件、及简单WEB等相关网络服务。  对于人民银行中心支行...(查看全文

2007年4月等级考试二级ACCESS考前密卷二(6)

(26)下面关于报表对数据的处理的叙述正确的选项是  A)报表只能输入数据  B)报表只能输出数据  C)报表可以输入和输出数据  D)报表不能输入和输出数据  (27)用来查看报表页面数据输出形态的视图是  A)&ldq...(查看全文

相关栏目导航

资讯 作文 诗词 文学 励志 教材 板报 语文 数学 英语 物理 化学 生物 政治 地理 历史 考试 论文 范文 计划 国学 高校 短信 教程 English 简历 幼儿 字典 词典 成语 QQ PPT 试题 课件 教案