Błąd znajduje się w tokenie, dostarczanym przez serwer na potrzeby procesu uwierzytelniania użytkownika - okazuje się, że możliwe jest przeprowadzenie na niego ataku typy "brute-force". Lukę wykrył Esteban Martinez Fayo, specjalista z firmy Application Security.

"Sprawa jest poważna - w skrócie rzecz ujmując, dzięki luce napastnik może uzyskać pełny dostęp do danych w bazie, a nawet je modyfikować" - komentuje Kevin Mitnick, jeden z najsłynniejszych hakerów w historii i twórca firmy Mitnick Security Consulting.

Zobacz również:

• Oracle znosi ograniczenia w zarządzaniu danymi
• Luka w zabezpieczeniach WordPress
• Wszystkie problemy macOS 14.4 - lepiej nie aktualizować Maców

Błąd dotyczy sposobu, w jakim protokół uwierzytelniania chroni klucze sesji. Gdy klient próbuje zalogować się do bazy, wysyłany jest do niego klucz sesji wraz z losową wartością (tzw. salt). Ponieważ następuje to przed zakończeniem uwierzytelniania, haker jest w stanie skojarzyć klucz z konkretnym hashem hasła. To z kolei pozwala na przeprowadzenie ataku brute force na klucz sesji - co ważne, serwer nie odnotowuje nieudanej próby logowania do bazy, więc nie jest uruchamiany żaden alert bezpieczeństwa.

Producent na razie nie komentuje tych doniesień. Wiadomo jednak, że Oracle zna problem - bo błąd ten został usunięty z 12. wersji Oracle Database. Esteban Martinez Fayo twierdzi jednak, że koncern nie planuje udostępnić aktualizacji dla wersji 11.1.

W przypadku firm, które wciąż zamierzają korzystać z wersji 11, pewnym rozwiązaniem może być np. zablokowanie dostępu do bazy z Internetu - choć wciąż będzie istniało wówczas ryzyko ataku z firmowej sieci. Specjaliści ds. bezpieczeństwa uważają, że w tej sytuacji jedynym bezpiecznym rozwiązaniem jest aktualizacja bazy danych do najnowszej wersji.

Więcej informacji znaleźć można w serwisie Threatpost.com