|
|
|
 |
|
甲骨文數據庫有漏洞 08年一月才會修復
|
|
來源:中關村在線 2007-11-13 16:04:47
|
|
11月8日,安全業界研究人員們表示,由于攻擊代碼開始在網上傳播而甲骨文公司尚未發布相應的補丁,因此,已經發現存在一個緩存溢出式漏洞的甲骨文公司旗艦數據庫軟件完全處于被動挨打的狀態。 這個漏洞是由VeriSign公司的iDefense Labs實驗室11月7日首次公布的,它發布了一份安全建議書概述了甲骨文Database 10g R2中的那個漏洞。iDefense警告說,早先版本的企業Database軟件可能也存在這個隱患。 11月8日,賽門鐵克公司也緊跟著向其DeepSight隱患管理系統的客戶發布了警告。賽門鐵克公司稱:“這個漏洞跟‘XDB.XDB_PITRIG_PKG.PITRIG_DROP METADATA’程序中的‘OWNER’和‘NAME ’參數有關。尤其是當這些參數的總長度超長時,在建立SQL查詢時就會發生緩存溢出現象。” 攻擊要求對數據庫進行認證,但是如果成功的話,攻擊者就可以遠程執行代碼。在上周五,網絡上已經出現了概念驗證型攻擊代碼。 甲骨文公司聲稱它已經消除了Database 10g中的這個漏洞,但是直到下次季度升級時才會發布相應補丁。預計下次升級的時間在2008年1月15日。 由于暫時沒有可用的替代方案,賽門鐵克公司建議用戶配置網絡入侵檢測系統來監控流量以識別惡意攻擊,而且只允許可信任員工訪問數據庫。 |
