在2014年美国黑帽大会上,数据库安全专家David Litchfield展示了Oracle公司一款旗舰产品的数据校订(data redaction)功能中的一些漏洞,Oracle公司在最新版本数据库12c中大肆宣传了这个安全功能。 基本上,数据校订功能是用于掩饰敏感信息,当返回的数据库查询包含敏感信息(例如社会安全号码、信用卡号码和其他个人身份信息等),并且这些数据到达特定的校订卷时,这些数据会用X来替换,而在校订卷以外的数据则返回正常数据。但这个功能充满了基本的安全漏洞,攻击者可以很容易地绕过它。 随后他在现场演示了所发现的漏洞,第一个漏洞是在DML操作后使用“RETURNING INTO”条款,这允许数据返回一个变量,他表示这是Oracle的失误,这原本可以通过执行渗透测试来发现。另一个漏洞可能允许攻击者访问“SELECT’S WHERE”中的数据,主要通过迭代推理攻击来暴力破解数字,基本上就是设定一个数字范围直到猜测出正确的数字。他还展示了利用这种方法的攻击者可以在几秒钟内获取信用卡号码,只需要从0到9猜测9个数字。在存储卷自动更新的情况下,Litchfield表示还可以使用相同的值来更新ID卷,其中会返回未掩饰的数据,这意味着根本没有进行更新。 Litchfield表示他展示数据校订漏洞不只是要记录当前的Oracle安全问题,而且也想强调该公司似乎不愿意吸取过去的安全教训。 在2002年1月15日,当时的微软董事长比尔·盖茨向员工发送了现在著名的可信计算备忘录,在前几年受到大量漏洞的影响后,他强调了构建更安全产品的重要性。这份备忘录最终让微软创建了安全开发生命周期,微软产品(例如微软SQL Server)中漏洞的数量和严重程度程均有所下降。在盖茨发出备忘录的几个月前,Oracle首席执行官Larry Ellison宣称其公司的产品是“坚不可摧的”,这个举动立即引起了黑客们的关注,并导致Oracle的软件中发现的漏洞数量开始飙升。 Litchfield最后指出可能还有很多方法来绕过数据校订安全功能,并表示担心OracleFusion的72GB版本,其他Oracle产品也可能有类似的问题。
------------------------------
