Allround Automations为“PL/SQL开发者”产品更新了版本,目的是解决可能导致中间人攻击的安全漏洞。
PL/SQL开发者产品是用来为甲骨文数据库开发存储程序的整体开发环境。该工具每次启动时都会检查更新,如果发现有可用更新,它就会从某个URL中下载并进行安装。
应用程序安全咨询人员Adam Caudill指出,11.0.4版本(以及可能还包括之前的版本)在获取更新时会使用HTTP,而且并不会验证被下载文件的真实性。拥有权限的用户能够将合法的URL替换为指向恶意文件的URL,或者可以确保合法URL上会出现恶意文件。此外,攻击者能够将下载链接替换为任意命令。这个任意命令能够在PL/SQL开发者更新进程中目标用户的上下文中自动执行该任意命令。也就是说用户以为在下载更新但实际上是将全部控制权交给了攻击者。而这是因为没有使用HTTPS保证流量安全,使得攻击者能够使用多种方法获取对用户计算机的控制权。
US-CERT表示,Allround Automation在三月中旬受到了关于该漏洞的报告后在11.0.6版本中修复了该漏洞,方法是使用HTTPS并且限制下载到公司官方域名的做法。此外,该公司建议用户更新安装程序。