网站导航免费论文 原创论文 论文搜索 原创论文 网学软件 学术大家 资料中心 会员中心 问题解答 原创论文 论文素材 设计下载 最新论文 下载排行 论文上传 在线投稿 联系我们
返回网学首页
网学联系
最新论文 推荐专题 热门论文 素材专题
当前位置: 网学 > 编程文档 > ORACLE > 正文
甲骨文11g数据库爆出“零日攻击漏洞”
来源:Http://myeducs.cn 联系QQ:点击这里给我发消息 作者: 用户投稿 来源: 网络 发布时间: 12/12/01
下载{$ArticleTitle}原创论文样式

  一位知名的安全研究人员前日展示了如何利用零日攻击攻破甲骨文11g数据库的安全防护,并从获得完全的控制权。

  NGS 咨询的研究员David Litchfield演示了黑客如何突破安全防御以特权接管甲骨文 11g的完全控制权限,并阐述了如何绕过甲骨文标签安全设置对信息的强制访问控制权。与此同时,Litchfield也宣布,这是他在NGS任职的最后一天,他正在考虑将自己的研究重心转向计算机取证方面。

  作为安全领域内的一名资深人士,Litchfield 称:“当从听说了甲骨文的首席执行官埃里森吹虚他的数据库‘牢不可破’后,我感到很不快。” Litchfield表示,他与甲骨文关系交恶已经有很长一段时间了。

  Litchfield的最新报告显示,由于Java已可在甲骨文11g第2版中执行的原因,导致数据库中存在一个过度纵容的默认授权,这使一个低权限用户可以自己随意修改授予权限。在演示的甲骨文11g企业版中,Litchfield演示了如何执行,导致自己的用户授予系统权限命令得到“对数据库的完全控制。”Litchfield也显示了如何能够绕过甲骨文标签安全用于管理强制访问在不同安全级别的信息的手段。

  Litchfield建议,在甲骨文修补他展示的零日攻击漏洞之前,甲骨文11g的管理员们撤回对基于Java的特定功能的一些公共访问权限。他表示,他预计甲骨文马上就会发布针对性的修补程序,而他也打算针对此漏洞公布自己的报告。

  Litchfield说,他认为对目前版本的数据库,甲骨文完全可以得到“B +”的安全成绩,虽然Litchfield对于新版数据库的改进给予了肯定,但是他也批评甲骨文在设计和修改产品的阶段没有发现这些问题。Litchfield指出,甲骨文在自己的产品交付后似乎过于依赖安全工具来查找问题

  

(实习编辑:白瑞)

(责任编辑:admin)

网学推荐

免费论文

原创论文

浏览:
设为首页 | 加入收藏 | 论文首页 | 论文专题 | 设计下载 | 网学软件 | 论文模板 | 论文资源 | 程序设计 | 关于网学 | 站内搜索 | 网学留言 | 友情链接 | 资料中心
版权所有 QQ:3710167 邮箱:3710167@qq.com 网学网 [Myeducs.cn] 您电脑的分辨率是 像素
Copyright 2008-2015 myeducs.Cn www.myeducs.Cn All Rights Reserved
湘ICP备09003080号