近日,一名外国研究者表示只须利用数据库名和用户名就可以攻击Oracle数据库。而且根据他的描述,攻击者并不需要一个“中间人”来诓骗多用户信息,而是可以直接从服务器上窃取可靠信息。
2010年5月时,这名研究者曾向Oracle提出警告,于是在2011年这个漏洞得到了修补,但甲骨文的最新版本依然存在这个问题,也就是说版本11.1和11.2依然容易被攻击。
而且Oracle的解决方案基本上只是放出全新的、与老版本不相容的执行标准,而原先的版本依然曝露在被攻击的危险下,而且他们没有向用户做出任何程度的警告和提示。”
今年1月Oracle在一个重要补丁中修补了78个软件漏洞,这些漏洞将致使攻击者可以远程攻击数据库。而就在上个月的Java7升级中就发现了一个可以被攻击者用来执行任意代码的漏洞。
