一名安全研究人員警告說，一種新的攻擊技巧增加了Oracle數(shù)據(jù)庫軟件中常見漏洞的風(fēng)險(xiǎn)。 過去，人們一般認(rèn)為攻擊者需要取得數(shù)據(jù)庫的高級權(quán)限才能利用所謂的PL SQL注入脆弱性。不過NGS Software信息安全專家David Litchfield周四在Black Hat DC大會上說，一種新的攻擊技巧改變了這一事實(shí)。 “攻擊者只要具備最低權(quán)限，就可以用這種技巧完全控制數(shù)據(jù)庫服務(wù)器，”Litchfield在接受訪問時說：“你可以用它來入侵許多你過去認(rèn)為并不重要的漏洞。” 長期研究Oracle軟件的Litchfied于上周在Black Hat DC大會上公開發(fā)表一篇論文，具體討論這種他稱為“指針注入”（cursor injection）的技巧，利用該技巧的攻擊代碼實(shí)例已經(jīng)出現(xiàn)，Litchfield說。 Oracle也發(fā)出聲明指出，該公司已注重到這種新的攻擊手段。 “NGS Software的‘Cursor Injection’論文說明了一種可能協(xié)助攻擊者利用SQL注入脆弱性的技巧，”這家數(shù)據(jù)庫開發(fā)商稱。Oracle強(qiáng)烈要求客戶安裝它提供的補(bǔ)丁修復(fù)已知的漏洞。 過去，PL SQL注入漏洞通常要求攻擊者具有數(shù)據(jù)庫的“建立程序”(create procedure)權(quán)限，大多數(shù)用戶都沒有這種權(quán)限。而使用指針注入技巧，任何人只要連接數(shù)據(jù)庫就可以利用這種漏洞，Litchfield說。 “它通過將預(yù)先編譯的指針注入易受攻擊的PL SQL對象中達(dá)到攻擊目的，”Litchfield在論文中指出，“本研究目的在于說明，所有SQL注入漏洞不需要任何系統(tǒng)權(quán)限（‘建立會話’權(quán)限除外）就可以加以充分利用。” 以后，Oracle不應(yīng)再把權(quán)限要求作為延遲修復(fù)PL SQL漏洞的理由，Litchfield說。Oracle的客戶可能會因延遲安裝補(bǔ)丁而身陷危險(xiǎn)之中，他說。“現(xiàn)在，不給這個非凡的漏洞打補(bǔ)丁的借口已經(jīng)不再存在，”Litchfield說。 盡管Litchfield認(rèn)為他的發(fā)現(xiàn)增加了許多Oracle脆弱性的嚴(yán)重程度，但另一位聞名數(shù)據(jù)庫安全研究員并不同意他的觀點(diǎn)。 “Davids指出的例子僅適用于某名用戶在一個高權(quán)限的賬戶中使用非凡的權(quán)限和動態(tài)語句建立一個易受攻擊的數(shù)據(jù)包的情況，”治理德國Red Database Security公司的Alexander Kornbrust指出：“我在審查PL SQL源代碼時從未發(fā)現(xiàn)這種情況，而且我還檢查了許多用戶和公司的PL SQL源代碼。” Oracle幾年來常和安全研究人員發(fā)生摩擦。不過，公司已經(jīng)做出改變，愿意老實(shí)面對產(chǎn)品安全流程中存在的問題。一月，Oracle開始提前通知每季的補(bǔ)丁發(fā)布情況。去年十月，該公司首次在通報(bào)中加入嚴(yán)重等級。