據(jù)InfoWorld網(wǎng)站報(bào)道��,Red-Database-Security(紅色數(shù)據(jù)庫安全)機(jī)構(gòu)的Alex Kornbrust本周一稱����,上周四在甲骨文MetaLink知識(shí)庫中發(fā)表的一篇文章指出了甲骨文服務(wù)器企業(yè)版9.2至10.2.0.3版本中存在一個(gè)安全漏洞。這個(gè)安全漏洞允許只有只讀權(quán)限的甲骨文用戶刪除和修改甲骨文應(yīng)用程序使用的數(shù)據(jù)�����。這個(gè)知識(shí)庫文章發(fā)表的樣本代碼向甲骨文用戶顯示了如何利用這個(gè)安全漏洞����。
甲骨文發(fā)言人在電子郵件聲明中稱,甲骨文已經(jīng)知道Kornbrust發(fā)現(xiàn)的那個(gè)安全漏洞��,并且正在準(zhǔn)備在即將推出重要補(bǔ)丁更新中發(fā)布一個(gè)補(bǔ)丁解決這個(gè)問題�����。
有關(guān)甲骨文軟件安全的專家Kornbrust說����,在接到可能造成安全威脅的通知之后,甲骨文刪除了MetaLink知識(shí)庫中的那篇文章��。然而���,能夠訪問MetaLink知識(shí)庫的黑客也許已經(jīng)從那篇文章中拷貝下來了如何利用這個(gè)安全漏洞的代碼。
據(jù)InfoWorld網(wǎng)站看到的這篇知識(shí)庫中的文章稱���,這個(gè)安全漏洞影響甲骨文軟件中名為“updatable join view”(可更新聯(lián)合查看)的功能���。這項(xiàng)功能允許甲骨文用戶主動(dòng)更新或者刪除基本數(shù)據(jù)庫表中的信息���。
Kornbrust說,對(duì)這個(gè)數(shù)據(jù)庫表只有“SELECT”(選擇)權(quán)限的用戶原來只能閱讀和顯示這個(gè)表中的數(shù)據(jù)���。但是���,利用甲骨文MetaLink知識(shí)庫中那篇文章介紹的方法,用戶現(xiàn)在可以刪除和更新那個(gè)數(shù)據(jù)庫表中數(shù)據(jù)或者向這個(gè)表中插入新的數(shù)據(jù)���。
Kornbrust不愿意詳細(xì)介紹如何利用這個(gè)安全漏洞的方法���。但是,他說���,惡意黑客也許從MetaLink知識(shí)庫的文章中已經(jīng)拷貝了利用這個(gè)安全漏洞的代碼��。
思科持續(xù)創(chuàng)新 重塑AI時(shí)代安全新范式
《阿里云安全白皮書2024版》發(fā)布:國內(nèi)首推“安全共同體”理念
