ZDNet至顶网软件频道消息:在美国拉斯维加斯召开的Defcon 22黑客大会上,有高手表示,甲骨文大肆宣传的数据库12c的Data redaction(数据校订)功能一攻即破,连找代码漏洞都不用。
12c里Redaction功能的目的是自动保护敏感数据库资料,其做法是完全遮掩或是部分掩盖列里面的数据,例如,在运行美国社会安全号码的搜索查询时,只用最后四位数字。
不过,根据Datacomm TSS安全专家和《甲骨文黑客手册》一书的作者David Litchfield的说法,Redaction用到的安全机制漏洞百出,基本上不需要劳神进行本地代码攻击就可以摧毁Redaction,据说只要略施某个SQL招就可以搞定。
Litchfield称,“假若甲骨文有个像样的安全开发周期,早就应该有人发现此缺陷了。”
“会一点SQL的人都能发现这些错误。”
Litchfield称只花了不到五分钟研究Redaction,就找到了其编码的严重缺陷。他以前在网上发表过他的调查结果。
他演示了一个不怀好意的员工——或是会远程注入SQL查询的人——只需简单地敲几下键盘就可以获得足够的权限击破数据Redaction的防御,访问数据库中的信息。
甲骨文CEO拉里·埃里森今年1月说过,就他所知二十年来没有人攻破过甲骨文数据库。Litchfield嘲笑埃里森的说法。Litchfield称,2011年黑客攻击索尼PlayStation网络导致PlayStation网络下线近两个月,最后查出是甲骨文数据库的事。
Litchfield表示,作为一名安全研究人员,他发现破绽后总是会向供应商报告。但他对甲骨文的反应速度表示无奈,说甲骨文打补丁速度慢,而且发布的修补程序要么是不工作或是不完整。
Litchfield星期五在Defcon大会上指出,通常情况下甲骨文的工程师只是针对攻击代码发个补丁,而不是修补本质缺陷。这样做不是个好方法,原因是小修小改攻击代码后就可以击败新的保护措施。
Litchfield表示,微软在数据安全方面的做法是可取的。2005年比尔·盖茨发了个安全备忘录,整个SQL 2005开发团队放下手里的工作,全面审查旧代码的安全性。
后来的结果是Microsoft SQL补丁和检测到的Microsoft SQL毛病急剧减少,IIS和Exchange的代码安全性也得到了很大提高。Litchfield建议甲骨文在安全方面抄一抄微软的功课,他说客户也应该要求甲骨文做出改变。
Litchfield最后说道,“如果你运行的是甲骨文数据库服务器,你不喜欢他们在安全方面对待你的做法的话,那就要给他们打电话说这事。我们真的有必要搞定这码子事。”
据了解,甲骨文还没有完全修补Litchfield提到的错误。记者曽就此事联系过甲骨文无果。
好文章,需要你的鼓励
美国橡树岭国家实验室正在探索量子计算与传统高性能计算的集成技术。实验室已安装澳大利亚Quantum Brilliance公司的量子计算机,与世界顶级超算Frontier系统进行集成测试。该项目旨在结合两种技术优势,让各自处理最适合的计算任务。研究重点包括集成时间表、所需工具以及空间和功耗要求。这种混合架构将为企业用户带来更强大的计算能力,特别是在量子机器学习等应用领域。
Orange Research团队开发的DivMerge技术实现了AI模型合并的重大突破,通过基于信息论的Jensen-Shannon散度优化,能够将多个专门模型智能组合成保持各自专长的"超级模型"。该技术在双任务合并中达到99.18%性能保持率,显著优于传统88.48%的水平,且在多任务场景下展现更好扩展性,仅需25个样本即可有效工作,为AI应用降本增效提供了新路径。
人工智能驱动的AI工厂正成为数据中心新蓝图,将计算、互连和软件整合为优化的生产系统。硬件软件栈围绕CPU-GPU融合设计、高带宽结构重构。英伟达与英特尔的合作重新定义数据中心主板架构,将CUDA深度整合到企业栈中,巩固了英伟达的市场地位。这一联盟为英伟达带来巨大优势,Intel获得AI开发者关注,而AMD需要完善GPU软件策略。CUDA正快速成为行业标准,企业将推动符合其约束条件的AI工厂建设。
腾讯AI实验室联合多所知名高校开发了一种名为CDE的新型AI训练框架,通过模仿儿童的好奇心学习机制,让大语言模型能够自主探索未知领域。该方法使用两套"好奇心传感器"指导模型学习,在数学推理任务上平均提升3个百分点,同时解决了传统方法中的"校准崩塌"问题,为开发更智能自主的AI系统开辟了新路径。