شماره: IRCNE2012091622
تاريخ: 31/06/91
با توجه به اخبار امنيتي منتشر شده توسط آزمايشگاه كسپراسكاي، يك محقق امنيتي نشان داد كه پايگاه داده اوراكل مي تواند توسط حملات brute-force، تنها با استفاده از نام پايگاه داده و يك نام كاربري هك شود.
Esteban Martinez Fayo، كه براي شركت AppSec كار مي كند، اين كشف خود را در يك كنفرانس امنيتي در آرژانتين در معرض نمايش گذاشت و گفت كه مي تواند با استفاده از يك ابزار خاص تنها در عرض پنج ساعت پايگاه داده اوراكل را هك كند و به داده هاي كاربران دسترسي يابد.
اين محقق ادعا كرد كه اين كار بسيار ساده است و هكرها تنها با دانستن يك نام كاربري معتبر در پايگاه داده و نام پايگاه داده مي توانند آن را هك كنند.
Martinez Fayo اظهار داشت: او رخنه هايي را در رمزنگاري احرازهويت رمزهاي عبور اوراكل كشف كرده است كه باعث مي شود به راحتي توسط حملات brute-force هك شوند.
اين محقق گفت كه تيم او براي اولين بار در مي 2010 اين مشكل را به اوراكل هشدار داده است و شركت اوراكل در سال 2011 آن را برطرف نموده است. با اين حال، شركت اوراكل اين مشكل را در نسخه هاي 11.1 و 11.2 برطرف نكرده است اما در نسخه 12 كه تازه منتشر شده، اين مشكل برطرف شده است.
اين اولين بار نيست كه يك رخنه امنيتي در پايگاه داده اوراكل كشف مي شوند. در ماه ژانويه، اين شركت 78 مشكل نرم افزاري را در يك اصلاحيه مهم برطرف نمود. آن مشكلات ناشي از رخنه اي بودند كه به هكرها اجازه مي داد تا از راه دور به پايگاه داده اوراكل وارد شوند. هم چنين ماه گذشته، يك آسيب پذيري جديد در آخرين به روز رساني جاوا 7 براي اوراكل كشف شد كه مي توانست براي اجراي كد دلخواه مورد سوء استفاده قرار بگيرد.
Martinez Fayo گفت: براي اين رخنه راه حل هايي وجود دارد. او اضافه كرد كه مي توان پروتكل را در نسخه 11.1 غيرفعال نمود و از نسخه قديمي آن مانند نسخه 10g استفاده كرد. هم چنين براي سازمان ها بسيار حياتي است تا پايگاه داده هايي از اوراكل را كه تحت تاثير اين آسيب پذيري ها قرار دارند، ارتقاء دهند و راه حل هايي براي جلوگيري از اين گونه حملات اعمال نمايند.
مطالب مرتبط:
كشف آسيب پذيري هاي جديد در جاوا
اصلاحيه اوراكل براي آسيب پذيري جاوا 7
به روز رساني مهم جاوا
به روزرساني امنيتي اوراكل با 88 اصلاحيه در راه است
انتشار 14 اصلاحيه براي Java SE توسط اوراكل
انتشار اطلاعات مربوط به يك آسيب پذيري اصلاح نشده در پايگاه داده اوراكل
- 4