08:30 25.09.2012 |   1362



Специалисты по безопасности обнаружили серьезную уязвимость в Oracle Database 11g Release 1 и 2 — она позволяет подобрать пароль для входа в систему методом «грубой силы» в связи с доступностью маркера сеанса. Брешь обнаружил Эстебан Мартинес Файо из компании Application Security. Знаменитый хакер Кевин Митник, у которого теперь своя компания Mitnick Security Consulting, подтвердил, что с использованием этой уязвимости можно получить доступ к данным в базе с возможностью их изменения.

Брешь связана с особенностями защиты ключей сеансов аутентификационным протоколом. При подключении клиента к серверу баз данных тот отправляет ключ сеанса с «солью». Поскольку это происходит еще до завершения процесса аутентификации, хакер может путем автоматического перебора найти подходящий к ключу сеанса хэш пароля.

Oracle устраила эту уязвимость аутентификационного протокола в его новой версии, 12. Старую же версию, 11.1, исправлять не планируется, утверждает Файо. Поэтому, по его мнению, в некоторых организациях уязвимость сохранится еще много лет, так как не везде могут позволить себе обновить сразу все клиенты и серверы Oracle.


Теги: Информационная безопасность