Poważna luka w systemie baz danych Oracle
- Antoni Steliński,
- 24.09.2012, godz. 09:53
Zdaniem specjalistów ds. bezpieczeństwa, w Oracle Database 11g Release 1 i 2 znajduje się poważny błąd, który przestępcy mogą wykorzystać do przejęcia lub modyfikowania danych zapisanych w bazie. Koncern na razie nie komentuje tych doniesień, choć wie o błędzie - bo usunięto go z wydania 12. Oracle Database.
"Sprawa jest poważna - w skrócie rzecz ujmując, dzięki luce napastnik może uzyskać pełny dostęp do danych w bazie, a nawet je modyfikować" - komentuje Kevin Mitnick, jeden z najsłynniejszych hakerów w historii i twórca firmy Mitnick Security Consulting.
Zobacz również:
- Oracle znosi ograniczenia w zarządzaniu danymi
- Luka w zabezpieczeniach WordPress
- Wszystkie problemy macOS 14.4 - lepiej nie aktualizować Maców
Błąd dotyczy sposobu, w jakim protokół uwierzytelniania chroni klucze sesji. Gdy klient próbuje zalogować się do bazy, wysyłany jest do niego klucz sesji wraz z losową wartością (tzw. salt). Ponieważ następuje to przed zakończeniem uwierzytelniania, haker jest w stanie skojarzyć klucz z konkretnym hashem hasła. To z kolei pozwala na przeprowadzenie ataku brute force na klucz sesji - co ważne, serwer nie odnotowuje nieudanej próby logowania do bazy, więc nie jest uruchamiany żaden alert bezpieczeństwa.
Producent na razie nie komentuje tych doniesień. Wiadomo jednak, że Oracle zna problem - bo błąd ten został usunięty z 12. wersji Oracle Database. Esteban Martinez Fayo twierdzi jednak, że koncern nie planuje udostępnić aktualizacji dla wersji 11.1.
W przypadku firm, które wciąż zamierzają korzystać z wersji 11, pewnym rozwiązaniem może być np. zablokowanie dostępu do bazy z Internetu - choć wciąż będzie istniało wówczas ryzyko ataku z firmowej sieci. Specjaliści ds. bezpieczeństwa uważają, że w tej sytuacji jedynym bezpiecznym rozwiązaniem jest aktualizacja bazy danych do najnowszej wersji.
Więcej informacji znaleźć można w serwisie Threatpost.com