Oracle公司被曝在数据校订功能中存漏洞

在2014年美国黑帽大会上，数据库安全专家David Litchfield展示了Oracle公司一款旗舰产品的数据校订(data redaction)功能中的一些漏洞，Oracle公司在最新版本数据库12c中大肆宣传了这个安全功能。 基本上，数据校订功能是用于掩饰敏感信息，当返回的数据库查询包含敏感信息(例如社会安全号码、信用卡号码和其他个人身份信息等)，并且这些数据到达特定的校订卷时，这些数据会用X来替换，而在校订卷以外的数据则返回正常数据。但这个功能充满了基本的安全漏洞，攻击者可以很容易地绕过它。 随后他在现场演示了所发现的漏洞，第一个漏洞是在DML操作后使用“RETURNING INTO”条款，这允许数据返回一个变量，他表示这是Oracle的失误，这原本可以通过执行渗透测试来发现。另一个漏洞可能允许攻击者访问“SELECT’S WHERE”中的数据，主要通过迭代推理攻击来暴力破解数字，基本上就是设定一个数字范围直到猜测出正确的数字。他还展示了利用这种方法的攻击者可以在几秒钟内获取信用卡号码，只需要从0到9猜测9个数字。在存储卷自动更新的情况下，Litchfield表示还可以使用相同的值来更新ID卷，其中会返回未掩饰的数据，这意味着根本没有进行更新。 Litchfield表示他展示数据校订漏洞不只是要记录当前的Oracle安全问题，而且也想强调该公司似乎不愿意吸取过去的安全教训。 在2002年1月15日，当时的微软董事长比尔·盖茨向员工发送了现在著名的可信计算备忘录，在前几年受到大量漏洞的影响后，他强调了构建更安全产品的重要性。这份备忘录最终让微软创建了安全开发生命周期，微软产品(例如微软SQL Server)中漏洞的数量和严重程度程均有所下降。在盖茨发出备忘录的几个月前，Oracle首席执行官Larry Ellison宣称其公司的产品是“坚不可摧的”，这个举动立即引起了黑客们的关注，并导致Oracle的软件中发现的漏洞数量开始飙升。 Litchfield最后指出可能还有很多方法来绕过数据校订安全功能，并表示担心OracleFusion的72GB版本，其他Oracle产品也可能有类似的问题。

------------------------------