Litchfield對(duì)100多萬(wàn)個(gè)隨機(jī)生成的IP的地址進(jìn)行了調(diào)查,檢查他是否能夠通過(guò)為微軟SQL服務(wù)器和甲骨文數(shù)據(jù)庫(kù)保留的IP端口訪問(wèn)這些服務(wù)器。結(jié)果是他找到了157臺(tái)SQL服務(wù)器和53臺(tái)甲骨文服務(wù)器。Litchfield然后根據(jù)已知的互聯(lián)網(wǎng)上的服務(wù)器數(shù)量做出預(yù)測(cè)稱,目前在互聯(lián)網(wǎng)上有368,000臺(tái)微軟SQL服務(wù)器和大約124,000臺(tái)甲骨文服務(wù)器能夠被直接訪問(wèn)。
Litchfield并不是第一次進(jìn)行這種研究。兩年前,他發(fā)表了他的第一篇《數(shù)據(jù)庫(kù)暴露調(diào)查》,預(yù)測(cè)有35萬(wàn)臺(tái)微軟和甲骨文的數(shù)據(jù)庫(kù)暴露在危險(xiǎn)之下。
2007年版的《數(shù)據(jù)庫(kù)暴露調(diào)查》將在下周一在Litchfield的數(shù)據(jù)庫(kù)安全網(wǎng)站發(fā)表。Litchfield說(shuō),沒(méi)有防火墻,數(shù)據(jù)庫(kù)將暴露給黑客,使企業(yè)數(shù)據(jù)面臨風(fēng)險(xiǎn)。
在今年的調(diào)查中,沒(méi)有采用防火墻的甲骨文數(shù)據(jù)庫(kù)服務(wù)器的數(shù)量比2005年統(tǒng)計(jì)數(shù)字減少了。在2005年的調(diào)查中,沒(méi)有采用防火墻的甲骨文數(shù)據(jù)庫(kù)服務(wù)器為14萬(wàn)臺(tái)。沒(méi)有采用防火墻的微軟SQL服務(wù)器的數(shù)量為21萬(wàn)臺(tái)。
這個(gè)調(diào)查發(fā)現(xiàn),大約82%的SQL服務(wù)器使用老版本SQL Server 2000軟件,不到一半的這種軟件安裝了最新的服務(wù)包更新。在甲骨文方面,13%的服務(wù)器運(yùn)行不再接受補(bǔ)丁的老版本數(shù)據(jù)庫(kù)軟件。這些甲骨文9.0和更早版本的數(shù)據(jù)庫(kù)軟件都有安全漏洞。
