一位一直被視為Oracle眼中釘的安全研究人員詳細介紹了該公司的一款旗艦產品的安全功能中的漏洞，這位安全研究人員稱，該公司對安全采取了雜亂無章的做法。

在2014年美國黑帽大會上，數據庫安全專家兼著名漏洞獵人David Litchfield展示了他最近在數據校訂(data redaction)功能中發現的一些漏洞，Oracle公司在最新版本數據庫12c中大肆宣傳了這個安全功能。

基本上，數據校訂功能是用于掩飾敏感信息，當返回的數據庫查詢包含敏感信息(例如社會安全號碼、信用卡號碼和其他個人身份信息等)，并且這些數據到達特定的校訂卷時，這些數據會用X來替換，而在校訂卷以外的數據則返回正常數據。

數據校訂實際上是一個“好主意”，但遺憾的是，這個功能充滿了基本的安全漏洞，攻擊者可以很容易地繞過它。

“如果Oracle遵循微軟的安全開發生命周期，我將展示的漏洞原本是可以避免的，”Litchfield表示，“我要談論的漏洞并不是火箭科學，供應商不應該容忍其旗艦產品中包含這些漏洞。”

隨后Litchfield現場演示了他發現的漏洞，其中有些漏洞被記錄在最近的一篇文章中。第一個漏洞是在DML操作后使用“RETURNING INTO”條款，這允許數據返回一個變量，他表示這是Oracle的失誤，這原本可以通過執行滲透測試來發現。

另一個漏洞可能允許攻擊者訪問“SELECT’S WHERE”中的數據，主要通過迭代推理攻擊來暴力破解數字，基本上就是設定一個數字范圍直到猜測出正確的數字。Litchfield展示了利用這種方法的攻擊者可以在幾秒鐘內獲取信用卡號碼，他們只需要從0到9猜測9個數字。

在存儲卷自動更新的情況下，Litchfield表示還可以使用相同的值來更新ID卷，其中會返回未掩飾的數據，這意味著根本沒有進行更新。

Litchfield表示：“在Oracle工作了一年并且懂SQL的任何人都應該可以發現這些漏洞。”

Oracle沒有吸取過往的安全教訓

Litchfield表示他展示數據校訂漏洞不只是要記錄當前的Oracle安全問題，而且也想強調該公司似乎不愿意吸取過去的安全教訓。

在2002年1月15日，當時的微軟董事長比爾·蓋茨向員工發送了現在著名的可信計算備忘錄，在前幾年受到大量漏洞的影響后，他強調了構建更安全產品的重要性。這份備忘錄最終讓微軟創建了安全開發生命周期，微軟產品(例如微軟SQL Server)中漏洞的數量和嚴重程度程均有所下降。

在蓋茨發出備忘錄的幾個月前，Oracle首席執行官Larry Ellison宣稱其公司的產品是“堅不可摧的”，這個不明智的舉動立即引起了Litchfield等黑客們的關注，并導致Oracle的軟件中發現的漏洞數量開始飆升。

Litchfield表示，蓋茨的備忘錄和Ellison的堅不可摧的說辭之間的差異為微軟的嚴格安全做法奠定了基礎，至少在服務器端是這樣，以及Oracle糟糕的安全策略。Litchfield記得很多這樣的情況，他在Oracle產品中發現漏洞，并將漏洞報告給該公司，然后等了幾個月該公司才發布補丁，而其補丁很容易像以前一樣被忽略。

盡管10年來，Litchfield和其他研究人員都在Oracle的代碼中挑刺，Oracle的Ellison在1月份表示該公司的數據庫產品“幾十年來沒有被任何人攻破”，Litchfield稱Ellison應該知道這不是事實，因為在最近歷史中最有名的安全事故之一PlayStation網絡泄露事故中，Oracle數據庫是作為該網絡的核心。

這些數據校訂漏洞很容易被發現，Litchfield警告說這些只是Oracle安全問題的冰山一角。他補充說他現在知道一個源自數據庫設置的未公開的關鍵漏洞，該漏洞可能允許攻擊者獲取完全的管理員權限，但當他詢問Oracle關于該設置的細節時，該公司甚至無法解釋為什么它會存在。

Litchfield表示：“對于為什么會有這個設置他們沒有內部文檔記錄，這真的很可怕。”

Litchfield最后指出可能還有很多他沒有發現的方法來繞過數據校訂安全功能，并表示擔心OracleFusion的72GB版本，這意味著巨大的攻擊面，其他Oracle產品也可能有類似的問題。因此，Litchfield表示，對于Oracle自己的首席執行官發表的言論，Oracle的企業客戶應該更加謹慎，并作出更好的采購選擇。

“我們現在在2014年，他們仍然沒有學習2002年的教訓，”他說道，“我正在使用數據校訂功能以證明他們沒有作出任何改進。”