|
|
甲骨文167漏洞修復(fù),包括嚴(yán)重的電子商務(wù)套件backdoor-like缺陷 灰鴿子2014破解版
甲骨文的怪物批安全更新預(yù)計(jì)周二將包括修復(fù)嚴(yán)重錯誤配置問題在其電子商務(wù)套件產(chǎn)品,可以給黑客訪問數(shù)據(jù)庫的敏感業(yè)務(wù)記錄。
著名的數(shù)據(jù)庫安全專家大衛(wèi)Litchfield去年發(fā)現(xiàn)了問題在客戶的系統(tǒng),起初他認(rèn)為這是一個攻擊者留下的后門�����。
”調(diào)查,原來這個“后門”是一個播種的一部分安裝!周一在Twitter上”他說�!拔耶(dāng)時(shí)目瞪口呆�����。還我�!
[內(nèi)幕獨(dú)家:如何網(wǎng)絡(luò)人才極度短缺催生了“間諜作為服務(wù)”) 灰鴿子下載
在聲明發(fā)布其季度關(guān)鍵補(bǔ)丁更新預(yù)計(jì)今天,甲骨文說,10漏洞將固定在電子商務(wù)套件,其中六可以利用遠(yuǎn)程沒有認(rèn)證�����。
得分最高的電子商務(wù)套件將修補(bǔ)漏洞是6.4普通危險(xiǎn)得分系統(tǒng)(CVSS),據(jù)該公司。這聽起來不壞,考慮到CVSS規(guī)模10�。
然而,Litchfield發(fā)現(xiàn)的缺陷是相當(dāng)嚴(yán)重的,因?yàn)楦鶕?jù)研究員,它允許攻擊者執(zhí)行任意SQL命令系統(tǒng),最高的特權(quán)帳戶數(shù)據(jù)庫�。
這可能是因?yàn)殡娮由虅?wù)套件贈款默認(rèn)索引特權(quán)的公共角色雙數(shù)據(jù)庫表,隸屬SYS,灰鴿子使用教程�����。
如果攻擊者可以執(zhí)行任意SQL命令系統(tǒng),他們可以讀取數(shù)據(jù)庫中的一切,包括敏感的業(yè)務(wù)記錄存儲的客戶關(guān)系管理(CRM)應(yīng)用程序的電子商務(wù)套件的一部分���。
Oracle關(guān)鍵補(bǔ)丁更新167年1月將包含安全修復(fù)漏洞在數(shù)以百計(jì)的Oracle產(chǎn)品和產(chǎn)品版本�。 |
|
加載中...
發(fā)表于 2015-1-21 10:42:50
QQ好友和群
收藏
發(fā)表于 2015-1-21 10:43:13
