Oracle-database er sårbar

Artiklen blev oprindeligt publiceret den 21/9/2012

En sikkerhedsforsker har fundet en sårbarhed, der gør det muligt at hacke sig ind på en Oracle-database på under et døgn.

Sårbarheden findes i Oracle Database 11g Release 1 og 2. Den ligger i den måde, systemet autentificerer brugere på.

Når en bruger vil logge ind, sender serveren en sessionsnøgle til klienten. I denne nøgle ligger der information, som en hacker kan bruge til at overtage en session. Når han har fået fat i nøglen, lukker han forbindelsen ned. Herefter starter han et brute force-angreb på sin pc.

Sikkerhedsforsker Esteban Martinez Fayo fra firmaet AppSec oplyser, at han kan knække et password på otte tegn på fem timer med en almindelig pc. Herefter har han adgang til databasen som en autentificeret bruger.

På grund af angrebsmetoden opdager databaseserveren ikke, at der har været et forsøg på login.

Oracle har lukket hullet i version 12 af autentifikationsprotokollen. Men der er ingen planer om at lukke de i version 11.1, siger Esteban Martinez Fayo til Threatpost.

Anbefaling
Opdater til seneste version eller slå login-protokollen fra på serveren.

Links