在上周拉斯维加斯的Black Hat Security Briefings中揭露了Oracle核心数据库软件的一些安全漏洞之后,David Litchfield,英国Next-Generation Security Software软件安全公司的常务董事发现他正处于媒体风暴的中心。
Litchfield向ZDNet UK描述了他作出公布Oracle问题决定的相关背景。当时一些观察家把他谴责为捣乱者。
您关注Oracle的安全问题已经有一段时间了?
有报道说,在Oracle他们组成了牢不可破的联盟(Unbreakable campaign)后,我才开始揭露Oracle的安全漏洞。实际上并不是这样,我在此之前已经开始研究Oracle产品的安全漏洞,不仅仅是Oracle,还有IBM以及微软等等。如果你看看他们自己的Oracle安全警告,就可以发现在那之前所发现的各种漏洞记录上有我的名字。在Oracle Unbreakable campaign其间这才被很多人所注意,原因很简单,因为这个时候联盟本身得到了媒体的关注。
您最近引起广泛争论的讲话是在什么样的背景下发表的?
去年的这个时候,我向BlackHat提交了一篇关于一些漏洞的论文。Oracle曾经向我保证说在我发言之前相关的补丁可以一切就绪,但在我作出决定的五分钟以前,Oracle却对我说他们还没有准备好。所以我不得不抛开我的笔记来一场即兴的演讲。幸好我有足够的材料来讨论其他事情。我作出这样的决定是因为如果我谈到了这些漏洞,我将把消费者置于危险境地;我选择了避开这个问题,这是正确且负责的。
这次发生了什么?
今年,我将就Oracle一系列新的漏洞进行讨论。今年一月,我发现了一共34个漏洞,三月份我打算在BlackHat中提到他们。Oracle又一次告诉我“别担心,我们会修补的。”我在发表演讲之前再度确认了Oracle所提到的补丁并不存在。这次这些漏洞并不在我的演讲内容中,因此我可以讲述PLS/SQL入侵,它从本质上来说将会允许攻击者将自己的代码藏到使用PSL/SQL编写的应用程序中,并获取超级用户权限。我原本打算通过实际的例子对其进行描述,但由于Oracle方面没有发布补丁,我只能作概述性的论述。因此实际上我并没有提到特定的漏洞。
这些漏洞是关于普遍的数据库问题,还是针对Oracle产品的?
这些漏洞中有一些是普遍的问题,但一些对于特定的Oracle产品来说非常重要,其中绝大部分我都会归于紧急(critical)程度。其中一个漏洞将允许攻击者在没有用户ID以及密码的情况下获得数据库完全的远程控制权,因此一旦攻击者可以绕过Oracle的数据库防火墙,那么整个服务器就可以被控制。其他的一些漏洞则允许低级别的guest用户获得数据库的完全控制权——因此这些漏洞的确是非常重要的。其中一些同拒绝服务攻击(denial of service)有关,而对于一些每小时需要处理数百万英镑的金融行业系统来说,拒绝服务攻击的防范则至关重要。
用户评论