В Oracle Database обнаружена уязвимость системы аутентификации

21/09/2012 12:34

Специалисты по информационной безопасности в четверг вечером распространили предупреждение об обнаружении опасной уязвимости в системе авторизации пользователей Oracle Database. Ввиду широкой популярности этой системы в корпоративном, государственном и военном секторах, под ударом могут оказаться многие гигабайты секретных данных. Исследователи говорят, что проблема "Oracle stealth password cracking vulnerability" позволяет перехватывать сессионные ключи из Oracle Database 11g Release 1 и 2 во время передачи этих данных легитимным пользователем в систему авторизации СУБД. В компании Threadpost, обнаружившей уязвимость, говорят, что проблема относится к классу man-in-the-middle, то есть хакер должен каким-то образом расположить программу-перехватчик между клиентом и СУБД. В самой Threadpost говорят, что создали демо-эксплоит и передали его в Oracle. Как говорят эксперты, изначально система авторизации Oracle шифрует все пользовательские данные, однако существует возможность перехвата шифрованных данных, а сама система, шифрующая информацию ненадежна и позволяет взломать логин/пароль на современном ЦПУ примерно за пять часов. В Oracle говорят, что получили данные о проблеме и в будущей Oracle Database 12c полностью изменят протокол аутентификации, однако пользователям существующей версии 11.1 глобальных изменений ждать не следует.
Подробности