מסדי נתונים מבוססי אורקל חשופים לפרצת אבטחה קריטית

9 מכל 10 מסדי נתונים המבוססים על הפלטפורמות של אורקל נמצאו חשופים לפרצת אבטחה המאפשרת לפורצים לגשת ואף להשתלט על מידע פנימי רגיש המאוחסן בתוך מסדי הנתונים ללא צורך בשם משתמש וסיסמא.

oraclehackבסוף השבוע האחרון הודיע דיוויד ליטשפלד, חוקר אבטחת מידע בחברת אבטחה בבריטניה, כי 9 מכל 10 מסדי נתונים המבוססים על הפלטפורמות של אורקל נמצאו חשופים לפרצת אבטחה המאפשרת לפורצים לגשת ואף להשתלט על מידע פנימי רגיש המאוחסן בתוך מסדי הנתונים ללא צורך בשם משתמש וסיסמא.

ליטשפילד הודיע כי הוא הזהיר את אורקל בנוגע לחור האבטחה כבר בחודש נובמבר האחרון, בתקווה שהחברה תדאג לתקנו, אך הוא החליט לשחרר את המידע לציבור עקב העובדה שאורקל לא שחררה תיקון לפרצה במהלך העדכון הרבעוני שלהם בחודש ינואר האחרון. לאחר שהציג את המחקר במהלך ועידת Black Hat Hacking שנערכה בוושינגטון בשבוע שעבר, אמר ליטשפילד כי הפרצה מאפשר לתוקף להשיג שליטה מלאה ללא צורך בשם משתמש וסיסמה ושום פיירוול לא יהיה רלוונטי במקרה כזה.

את הפרצה עצמה ניתן למנוע באמצעות שינויים בהגדרות ברירת המחדל של מסד הנתונים, אך לדברי ליטשפילד, 9 מתוך 10 מסדי נתונים נשארו פגיעים לפרצה מאחר ורוב אנשי ה-DBA לא טורחים לגעת בהגדרות הללו שלא לצרכי אופטימיזציה. ליטשפילד מוסיף כי בשלב זה, לא ניתן לדעת האם פורצים כבר עשו שימוש כלשהו בפרצה על-מנת לגשת למסד הנתונים הקיים בארגון.

אורקל סרבה לספק תגובה רשמית על הטענות.

יניב פלדמן

לשעבר העורך הראשי של גיקטיים ומייסד שותף של האתר. יזם, טכנולוג, כלכלן בהשכלה והיסטוריון חובב. התחביב האהוב עליו הוא מציאת פתרונות מסובכים לבעיות פשוטות במיוחד.

הגב

הגב ראשון!

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

wpDiscuz

תגיות לכתבה: