3月5日國際報道 一種新攻擊技巧可能讓常見于甲骨文數據庫軟件的瑕疵風險性大增，安全研究人員警告。

       過去一般認為攻擊者需要取得數據庫上的高端權限才能執行所謂的PL SQL injection弱點攻擊。不過NGS Software信息安全專家David Litchfield上周四在Black Hat DC大會上說，那可不見得。

       “攻擊者只要具備權限，就可以用這種技倆全權控制數據庫服務器，”Litchfield在接受訪問時說到。“你可以用它來入侵一堆你過去以為不重要的弱點。”

       長期研究甲骨文(Oracle)的Litchfied在上周公布的報告中稱呼這種技巧為“cursor injection”而使用該技倆的攻擊程序也已出現，Litchfield說。

       甲骨文也發出聲明稿指出，該公司已注意到新的攻擊手法。

       “NGS Software的《Cursor Injection》報告指出新手法可能協助攻擊者入侵SQL injection的弱點，”數據庫軟件大廠說。甲骨文已提醒客戶安裝防范的補丁程序。

       過去PL SQL injection瑕疵都要求具備數據庫上的“制作程序(create procedure)”的權限，這種權限只有少部份使用者才有。而使用cursor injection手法，任何人只要連上數據庫就可以發動攻擊，Litchfield說。

       “它是把預先編譯(compile)好的cursor注入有瑕疵的PL SQL對象中以遂攻擊目的，”Litchfield在報告中指出。“本研究目的在顯示所有SQL injection瑕疵都只要create session的權限就可以加以入侵。”

       未來甲骨文不應再讓權限要求成為延后修補PL SQL瑕疵的因素，Litchfield說。甲骨文的客戶可能因延宕安裝修補程序而身陷危險之中，他說。“規避修補該瑕疵的借口已經沒有了，”Litchfield說。

       甲骨文幾年來常和安全研究人員發生爭執，不過現在已改過向善，愿意誠實面對產品安全流程的問題。一月甲骨文開始為季度補丁程序發出事前通知。去年十月，該公司首度在通報中加入嚴重性等級。

       來源：ZDNet China