Наверх
Меню
Новости
Статьи
twitter
Новости Software
22 сентября 2012
807
  Уязвимость в протоколе авторизации Oracle позволяет взламывать пароли  
 
Уязвимость в протоколе авторизации Oracle позволяет взламывать пароли
Для подбора правильного пароля хакеры осуществляют брут-форс атаку на уникальный сессионный ключ пользователя. Как сообщает Dark Reading со ссылкой на слова исследователя Эсте*ана Мартинеза Файо (Esteban Martinez Fayó) из AppSec, протокол авторизации некоторых баз данных Oracle содержит критическую уязвимость, которая позволяет взламывать пароли посредством брут-форс атак.


«Это критическая уязвимость, потому что ее очень легко проэксплуатировать, и она не требует привилегий», - заявляет эксперт.

В «Лаборатории Касперского» также подготовили отчет , согласно которому уязвимость обнаружена в протоколе авторизации, используемом Oracle Database 11g (выпуски 1 и 2).

Как правило, базы данных Oracle поддерживают связь с клиентами посредством выдачи уникального сессионного ключа. Однако уязвимые версии Oracle 11g отправляют ключ, прежде чем пользователь полностью авторизуется. В результате, злоумышленник высылает имя пользователя, получает сессионный ключ, после чего разрывает соединение. Затем ключ используется для взлома пароля определенного пользователя.

«Злоумышленник может провести брут-форс атаку на сессионный ключ путем перебора миллионов паролей в секунду», - заявил Файо.

По словам эксперта, его команда впервые предупредила Oracle об уязвимости в мае 2010 года. Она была исправлена в середине 2011 года, однако это обновление не было включено в критические исправления. Такие действия не решили проблему, а только создали новую, так как была выпущена новая несовместимая с уязвимой базой данных 12 версия протокола авторизации.

Даже если исправление применяется к базе данных, она по-прежнему продолжает использовать версию протокола 11.1. по умолчанию. Для того, чтобы применять новую версию протокола следует обновить серверы баз данных и клиентов.

Файо заявлет, что у Oracle пока нет планов выпускать обновление для протокола версии 11.1.


  Источник: securitylab.ru
 



Поделиться с друзьями:


Другие новости по теме
 
Вы не авторизованный пользователь. Чтобы воспользоваться всеми возможностями сайта, зарегистрируйтесь.
 

Комментарии

Добавление комментария
Ваше имя
Ваш Email
Код Включите эту картинку для отображения кода безопасности
обновить код
Введите код