Уязвимость в протоколе авторизации Oracle позволяет взламывать пароли

Для подбора правильного пароля хакеры осуществляют брут-форс атаку на уникальный сессионный ключ пользователя.

Как сообщает Dark Reading со ссылкой на слова исследователя Эстебана Мартинеза Файо (Esteban Martinez Fayó) из AppSec, протокол авторизации некоторых баз данных Oracle содержит критическую уязвимость, которая позволяет взламывать пароли посредством брут-форс атак.

«Это критическая уязвимость, потому что ее очень легко проэксплуатировать, и она не требует привилегий», - заявляет эксперт.

В «Лаборатории Касперского» также подготовили отчет , согласно которому уязвимость обнаружена в протоколе авторизации, используемом Oracle Database 11g (выпуски 1 и 2).

Как правило, базы данных Oracle поддерживают связь с клиентами посредством выдачи уникального сессионного ключа. Однако уязвимые версии Oracle 11g отправляют ключ, прежде чем пользователь полностью авторизуется. В результате, злоумышленник высылает имя пользователя, получает сессионный ключ, после чего разрывает соединение. Затем ключ используется для взлома пароля определенного пользователя.

«Злоумышленник может провести брут-форс атаку на сессионный ключ путем перебора миллионов паролей в секунду», - заявил Файо.

По словам эксперта, его команда впервые предупредила Oracle об уязвимости в мае 2010 года. Она была исправлена в середине 2011 года, однако это обновление не было включено в критические исправления. Такие действия не решили проблему, а только создали новую, так как была выпущена новая несовместимая с уязвимой базой данных 12 версия протокола авторизации.

Даже если исправление применяется к базе данных, она по-прежнему продолжает использовать версию протокола 11.1. по умолчанию. Для того, чтобы применять новую версию протокола следует обновить серверы баз данных и клиентов.

 Файо заявлет, что у Oracle пока нет планов выпускать обновление для протокола версии 11.1.