【CTO360技术资讯】NGS咨询的研究员DavidLitchfield演示了黑客如何研究员资讯技术突破安全防御以特权接管甲骨文11g的完全控制权限,并甲骨文安全防御阐述了如何绕过甲骨文标签安全设置对信息的强制访问控甲骨文安全访问制权。
一位知名的安全研究人员前日展示了如何利用零日攻安全展示利用击攻破甲骨文11g数据库的安全防护,并从获得完全的控数据库甲骨文安全制权。
NGS咨询的研究员DavidLitchfield演示了黑客如何突破安全防御以特研究员安全防御权接管甲骨文11g的完全控制权限,并阐述了如何绕过甲甲骨文阐述控制骨文标签安全设置对信息的强制访问控制权。与此同时,与此同时控制权安全Litchfield也宣布,这是他在NGS任职的最后一天,他正在考虑将自litchfield 最后正在己的研究重心转向计算机取证方面。
作为安全领域内的一名资深人士,Litchfield称:“当从听说litchfield 安全人士了甲骨文的首席执行官埃里森吹嘘他的数据库‘牢不可破牢不可破数据库甲骨文’后,我感到很不快。”Litchfield表示,他与甲骨文关系交恶已litchfield 甲骨文表示经有很长一段时间了。
Litchfield的最新报告显示,由于Java已可在甲骨文11g第2版litchfield 甲骨文显示中执行的原因,导致数据库中存在一个过度纵容的默认授数据库原因默认权,这使一个低权限用户可以自己随意修改授予权限。在授予自己可以演示的甲骨文11g企业版中,Litchfield演示了如何执行,导致自litchfield 甲骨文企业己的用户授予系统权限命令得到“对数据库的完全控制。数据库命令授予”Litchfield也显示了如何能够绕过甲骨文标签安全用于管理强制litchfield 甲骨文能够访问在不同安全级别的信息的手段。
Litchfield建议,在甲骨文修补他展示的零日攻击漏洞之前,litchfield 甲骨文修补甲骨文11g的管理员们撤回对基于Java的特定功能的一些公甲骨文管理员基于共访问权限。他表示,他预计甲骨文马上就会发布针对性甲骨文针对性访问的修补程序,而他也打算针对此漏洞公布自己的报告。
Litchfield说,他认为对目前版本的数据库,甲骨文完全可以litchfield 数据库甲骨文得到“B ”的安全成绩,虽然Litchfield对于新版数据库的改进给litchfield 数据库对于予了肯定,但是他也批评甲骨文在设计和修改产品的阶段甲骨文设计产品没有发现这些问题。Litchfield指出,甲骨文在自己的产品交付后litchfield 甲骨文问题似乎过于依赖安全工具来查找问题。