Κατασκευή Ιστοσελίδων (Web Design)
Επαγγελματική σχεδίαση στοσελίδας
× Όλα Όσα Συμβαίνουν Σήμερα
Βρέθηκε ευπάθεια στις βάσεις δεδομένων της Oracle
12 Χρόνια 1 Μήνας πριν - 12 Χρόνια 1 Μήνας πριν #944 από maxi
MaDTeCH
Forum τεχνολογίας - Κατασκευή ιστοσελίδων - Web Services - Web Design - Αναβαθμίσεις - Service H/Y & Δικτύων.
Supported by www.madtech.gr
Βρέθηκε ευπάθεια στις βάσεις δεδομένων της Oracle δημιουργήθηκε από maxi
Βρέθηκε ευπάθεια στις βάσεις δεδομένων της Oracle
Πηγή: SecNews.gr
Σύμφωνα με την Kaspersky Lab Security News, ο ερευνητής Esteban Fayo Martinez, ο οποίος εργάζεται στην AppSec Inc, παρουσίασε σε συνέδριο για την ασφάλεια στην Αργεντινή πως μπορεί να παραβιάσει τις βάσεις δεδομένων της Oracle μέσω brute-force επιθέσεων
χρησιμοποιώντας μόνο το όνομα της βάσης δεδομένων και ένα όνομα χρήστη.
Ο ερευνητής έκανε επίδειξη της ανακάλυψης του στο συνέδριο λέγοντας ότι, μέσα σε μόλις πέντε ώρες με έναν κανονικό υπολογιστή και τη χρήση ενός ειδικού εργαλείου, μπόρεσε να παραβιάσει τους κωδικούς πρόσβασης και να έχει πρόσβαση στα δεδομένα των χρηστών. Μάλιστα, ανέφερε ότι ήταν πολύ απλό και το μόνο που χρειάζεται να γνωρίζει ένας επιτιθέμενος είναι ένα έγκυρο όνομα χρήστη στη βάση δεδομένων και το όνομα της βάσης δεδομένων.
Επίσης, είπε ότι υπάρχει ευπάθεια στην κρυπτογράφηση των κωδικών πρόσβασης της Oracle, η οποία επιτρέπει την εκμετάλλευση της μέσω μιας απλής επίθεσης brute-force. Ο εισβολέας μπορεί να αποκτήσει πρόσβαση απευθείας στις πληροφορίες του διακομιστή χωρίς να απαιτείται “man-in-the-middle” επίθεση.
Ο ίδιος και η ομάδα του, ειδοποίησαν την εταιρεία σχετικά με τις ευπάθειες το 2010, όταν τις ανακάλυψαν, αλλά οι υπεύθυνοι τις διόρθωσαν το 2011. Οι εκδόσεις που είναι ακόμα ευπαθείς σε επιθέσεις είναι η 11.1 και 11.2. Η έκδοση 12 που κυκλοφόρησε πρόσφατα από την εταιρεία δεν έχει πρόβλημα.
Αυτή δεν είναι η πρώτη φορά που βρέθηκαν κενά ασφαλείας στις βάσεις δεδομένων της Oracle. Τον Ιανουάριο, η εταιρεία διόρθωσε 78 σφάλματα λογισμικού από μια ευπάθεια που επέτρεπε στους εισβολείς να έχουν πρόσβαση σε βάσεις δεδομένων εξ αποστάσεως. Τον περασμένο μήνα, εντοπίστηκαν νέα τρωτά σημεία στην τελευταία ενημέρωση της Oracle για την Java 7, τα οποία μπορούν να αξιοποιηθούν για την εκτέλεση αυθαίρετου κώδικα.
Όπως είπε ο ερευνητής, υπάρχουν εναλλακτικοί τρόποι αντιμετώπισης του προβλήματος. Μπορούμε να απενεργοποιήσουμε το ανασφαλές πρωτόκολλο στην έκδοση 11.1 και να χρησιμοποιήσουμε παλαιότερες εκδόσεις της Oracle όπως η 10g, που δεν είναι ευάλωτη. Ακόμα είπε ότι, είναι ζωτικής σημασίας για τους οργανισμούς που αναπτύσσουν βάσεις δεδομένων στην Oracle και επηρεάζονται από την ευπάθεια, να βρίσκουν ισχυρές λύσεις για την αποφυγή επιθέσεων.
Η Oracle σύμφωνα με δήλωση της θα αναφερθεί επί του ζητήματος μόλις έχει μια πλήρη και αναλυτική εικόνα.
Πηγή: SecNews.gr
Σύμφωνα με την Kaspersky Lab Security News, ο ερευνητής Esteban Fayo Martinez, ο οποίος εργάζεται στην AppSec Inc, παρουσίασε σε συνέδριο για την ασφάλεια στην Αργεντινή πως μπορεί να παραβιάσει τις βάσεις δεδομένων της Oracle μέσω brute-force επιθέσεων
χρησιμοποιώντας μόνο το όνομα της βάσης δεδομένων και ένα όνομα χρήστη.
Ο ερευνητής έκανε επίδειξη της ανακάλυψης του στο συνέδριο λέγοντας ότι, μέσα σε μόλις πέντε ώρες με έναν κανονικό υπολογιστή και τη χρήση ενός ειδικού εργαλείου, μπόρεσε να παραβιάσει τους κωδικούς πρόσβασης και να έχει πρόσβαση στα δεδομένα των χρηστών. Μάλιστα, ανέφερε ότι ήταν πολύ απλό και το μόνο που χρειάζεται να γνωρίζει ένας επιτιθέμενος είναι ένα έγκυρο όνομα χρήστη στη βάση δεδομένων και το όνομα της βάσης δεδομένων.
Επίσης, είπε ότι υπάρχει ευπάθεια στην κρυπτογράφηση των κωδικών πρόσβασης της Oracle, η οποία επιτρέπει την εκμετάλλευση της μέσω μιας απλής επίθεσης brute-force. Ο εισβολέας μπορεί να αποκτήσει πρόσβαση απευθείας στις πληροφορίες του διακομιστή χωρίς να απαιτείται “man-in-the-middle” επίθεση.
Ο ίδιος και η ομάδα του, ειδοποίησαν την εταιρεία σχετικά με τις ευπάθειες το 2010, όταν τις ανακάλυψαν, αλλά οι υπεύθυνοι τις διόρθωσαν το 2011. Οι εκδόσεις που είναι ακόμα ευπαθείς σε επιθέσεις είναι η 11.1 και 11.2. Η έκδοση 12 που κυκλοφόρησε πρόσφατα από την εταιρεία δεν έχει πρόβλημα.
Αυτή δεν είναι η πρώτη φορά που βρέθηκαν κενά ασφαλείας στις βάσεις δεδομένων της Oracle. Τον Ιανουάριο, η εταιρεία διόρθωσε 78 σφάλματα λογισμικού από μια ευπάθεια που επέτρεπε στους εισβολείς να έχουν πρόσβαση σε βάσεις δεδομένων εξ αποστάσεως. Τον περασμένο μήνα, εντοπίστηκαν νέα τρωτά σημεία στην τελευταία ενημέρωση της Oracle για την Java 7, τα οποία μπορούν να αξιοποιηθούν για την εκτέλεση αυθαίρετου κώδικα.
Όπως είπε ο ερευνητής, υπάρχουν εναλλακτικοί τρόποι αντιμετώπισης του προβλήματος. Μπορούμε να απενεργοποιήσουμε το ανασφαλές πρωτόκολλο στην έκδοση 11.1 και να χρησιμοποιήσουμε παλαιότερες εκδόσεις της Oracle όπως η 10g, που δεν είναι ευάλωτη. Ακόμα είπε ότι, είναι ζωτικής σημασίας για τους οργανισμούς που αναπτύσσουν βάσεις δεδομένων στην Oracle και επηρεάζονται από την ευπάθεια, να βρίσκουν ισχυρές λύσεις για την αποφυγή επιθέσεων.
Η Oracle σύμφωνα με δήλωση της θα αναφερθεί επί του ζητήματος μόλις έχει μια πλήρη και αναλυτική εικόνα.
MaDTeCH
Forum τεχνολογίας - Κατασκευή ιστοσελίδων - Web Services - Web Design - Αναβαθμίσεις - Service H/Y & Δικτύων.
Supported by www.madtech.gr
Παρακαλούμε Σύνδεση ή Δημιουργία λογαριασμού για να συμμετάσχετε στη συζήτηση.
Χρόνος δημιουργίας σελίδας: 0.143 δευτερόλεπτα
