Oracle公司被曝在数据校订功能中存漏洞

在2014年美国黑帽大会上,数据库安全专家David Litchfield展示了Oracle公司一款旗舰产品的数据校订(data redaction)功能中的一些漏洞,Oracle公司在最新版本数据库12c中大肆宣传了这个安全功能。 基本上,数据校订功能是用于掩饰敏感信息,当返回的数据库查询包含敏感信息(例如社会安全号码、信用卡号码和其他个人身份信息等),并且这些数据到达特定的校订卷时,这些数据会用X来替换,而在校订卷以外的数据则返回正常数据。但这个功能充满了基本的安全漏洞,攻击者可以很容易地绕过它。 随后他在现场演示了所发现的漏洞,第一个漏洞是在DML操作后使用“RETURNING INTO”条款,这允许数据返回一个变量,他表示这是Oracle的失误,这原本可以通过执行渗透测试来发现。另一个漏洞可能允许攻击者访问“SELECT’S WHERE”中的数据,主要通过迭代推理攻击来暴力破解数字,基本上就是设定一个数字范围直到猜测出正确的数字。他还展示了利用这种方法的攻击者可以在几秒钟内获取信用卡号码,只需要从0到9猜测9个数字。在存储卷自动更新的情况下,Litchfield表示还可以使用相同的值来更新ID卷,其中会返回未掩饰的数据,这意味着根本没有进行更新。 Litchfield表示他展示数据校订漏洞不只是要记录当前的Oracle安全问题,而且也想强调该公司似乎不愿意吸取过去的安全教训。 在2002年1月15日,当时的微软董事长比尔·盖茨向员工发送了现在著名的可信计算备忘录,在前几年受到大量漏洞的影响后,他强调了构建更安全产品的重要性。这份备忘录最终让微软创建了安全开发生命周期,微软产品(例如微软SQL Server)中漏洞的数量和严重程度程均有所下降。在盖茨发出备忘录的几个月前,Oracle首席执行官Larry Ellison宣称其公司的产品是“坚不可摧的”,这个举动立即引起了黑客们的关注,并导致Oracle的软件中发现的漏洞数量开始飙升。 Litchfield最后指出可能还有很多方法来绕过数据校订安全功能,并表示担心OracleFusion的72GB版本,其他Oracle产品也可能有类似的问题。

------------------------------

原文发布于微信公众号 - 安恒信息(DBAPP2013)

原文发表时间:2014-08-14

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏腾讯数据中心

腾讯数据中心基础设备质量检测之电池巡检仪篇

上一篇《腾讯数据中心基础设备质量检测之电流传感器、智能电表篇》成功推送10000+粉丝,截至小编发稿已有260人次的转发+收藏,同时评论区也热闹非凡。小编截取部...

35470
来自专栏黑白安全

与朝鲜有关的黑客使用谷歌Play商店中的恶意软件追踪脱北者

据外媒Techspot报道, 谷歌Play商店此前曾出现一些看似合法却包含恶意软件的的应用程序并不陌生,但McAfee的研究人员发现了一些与以前不同的内容:针对...

9520
来自专栏Crossin的编程教室

电脑小白如何不被“勒索”

最近上了各大头条的勒索病毒我想大家都有所耳闻。不幸中招的朋友,请允许我拍拍你的肩膀。设身处地地想一下,眼看就要毕业了,结果论文没了……换了谁都不能忍啊。可是你也...

32190
来自专栏腾讯Bugly的专栏

鹅厂揭秘——高端大气的App电量测试

如何评价我们开发出来的应用是耗电还是不耗电,如何测试?这就是我们今天讨论的主题——电量测试,一个在移动应用中新出现的测试类型。 作者简介 ? 袁建发 腾讯智能...

43140
来自专栏Python专栏

GitHub宕机24小时,我们还能干嘛

不过我更喜欢下面这幅图,虽然我已经2年不用windows了,但是看到这个图还是很想笑啊,每次windows一个补丁,就能让你半天不用看屏幕了。

13920
来自专栏数据和云

MySQL DBA技术难度低为什么工资比Oracle高?

编辑手记:前几天在知乎上出现了一个很热的帖子,话题是“MySQL DBA技术难度低为什么工资比oracle高?”,这个话题很快引起了热烈的讨论。从回帖的情况来看...

51850
来自专栏大数据文摘

电脑发热可以导致数据泄露

15770
来自专栏FreeBuf

做一名无线黑客,这些装备你必须有

免责声明:本站提供安全工具、程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负! 在电影里黑客都在大街上或者马路上直接用笔记本“嗒…嗒…嗒…”就把某个...

39750
来自专栏安恒信息

你知道吗:facebook员工无需密码,就能访问你的账号!

毫无疑问,在不久的将来,Facebook和其他大型科技公司:包括谷歌,苹果和雅虎正试图通过采用终端到终端通信加密解决方案,来确保他们的数据不会被执法、间谍机构窃...

28180
来自专栏FreeBuf

NSA泄露文件深度分析(二):运营商

? * 本文原创作者:tom_vodu,本文属FreeBuf原创奖励计划,未经许可禁止转载 说在前面 只是简单看了工具包中的EXP,并在网上关注了一下国外对...

307100

扫码关注云+社区

领取腾讯云代金券