INNOV.RU | Информационный портал 

   
каждый месяц нас читают более 300 тысяч человек .
Главная Новости Справка
КУРСЫ КРИПТОВАЛЮТ

 

В Oracle нашли уязвимость

 
Нижний Новгород, 26.09.2012, INNOV.RU

Специалисты по информационной безопасности из компании AppSec обнаружили уязвимость в системе авторизации базы данных Oracle, позволяющей проникать в БД, минуя процедуру авторизации, а также получать пароли других пользователей.

Специалисты по информационной безопасности из компании AppSec обнаружили уязвимость в системе авторизации базы данных Oracle, позволяющей проникать в БД, минуя процедуру авторизации, а также получать пароли других пользователей. Дефект получил название «уязвимость с незаметным вскрытием паролей Oracle», её открыл специалист Эстебан Мартинес Файо. По его мнению, источником проблем является сеансовый ключ, высылаемым пользователю системой во время каждой попытки входа в базу данных Oracle Database 11g версий R1 и R2.

В ключе содержится важная информация о криптографическом хэш-коде, используемом для шифрования пароля. Хеш-код можно легко расшифровать, используя стандартные утилиты с открытым кодом. Так при помощи тестовой утилиты демонстрирующей возможности использования уязвимостей, удалось взломать пароль, состоящий из восьми буквенных символов с одним регистром всего за несколько часов.

Недоработка протокола была устранена в версии Oracle Database 12, но по поводу версии Oracle Database 11.1 пока не понятно. Кроме того, сама уязвимость сохраняется в Oracle Database 12, её устранить можно только путём изменения конфигурации сервера. Однако представители компании пока никаких заявлений об уязвимости не делали.

Основная проблема уязвимости заключается в том, что попытку взлома невозможно засечь как атаку. Кроме того, для этого не нужно проникать в защищенную сеть, поскольку ключ высылается при каждом обращении пользователя к базе, данных даже при использовании стандартного пакета для работы с серверами Oracle. Пароль можно взломать, обладая минимальными знаниями взлома. Защитой от уязвимости может служить изменение конфигурации сервера, для этого может потребоваться помощь профильного специалиста. Помимо этого, рекомендуется устанавливать сложные пароли, длиной до 20 символов.

оставить комментарий


Вернуться к списку новостей
добавить виджет INNOV.RU
источник:  INNOV.RU

фото:  remont-komputerov-notebook.ru

Материалы по теме:

MasterCard протестировала карты нового типа MasterCard протестировала карты нового типа
Самые популярные новогодние запросы Самые популярные новогодние запросы
Яндекс обновил браузер Яндекс обновил браузер

 архив новостей /2005-2009/2009/2010/2011/ 2012