Oracle-databaser, her representert ved selskapets hovedkvarter i California, trues av en kritisk sårbarhet i autentiseringsprotokollen. (Bilde: Oracle)

Oracle-databaser truet

- Trivielt å knekke passordene.

Ett kritisk hull truer enkelte Oracle-databaser. Passordene lar seg knekke med relativt enkle metoder.

Sårbarheten berører Oracle-databasen 11g Release 1 og Release 2. Problemet skyldes en fundamental svikt i autentiseringsprotokollen. Det melder Kaspersky Labs.

Før autentisering sender serveren en sesjonsnøkkel til alle klienter som forsøker å logge seg inn. Nøkkelen inneholder en hash-verdi og salt, det vil si en serie vilkårlige tegn som er brukt i beregningen.

- Etter å ha mottatt sesjonsnøkkelen kan en angriper stenge forbindelsen. Fordi autentiseringen ikke er fullført vil ikke serveren registrere mislykkede forsøk på innlogging, sier sikkerhetsforsker Esteban Martinez Fayó ved AppSecInc.

Deretter er det bare snakk om tid før passordet gjettes med «rå makt»-metoden (brute force). Ifølge Fayó vil et passord bestående av 8 tegn la seg knekke i løpet av rundt fem timer ved bruk av datakraften i en helt ordinær pc.

Hvem som helst kan gjøre dette, men angrepet krever at man kjenner navnet på databasen og en gyldig brukerkonto.

- Dette er kritisk fordi sårbarheten er veldig enkel å utnytte, og den krever ingen rettigheter, sier sikkerhetsforskeren til nettstedet Dark Reading.

Fayó og teamet hans hos AppSecInc hevder å ha varslet Oracle om sårbarheten allerede i mai 2010.

Oracle skal deretter ha brukt over ett år før de kom med en oppdatering, versjon 11.2.0.3, med en nyere utgave av autentiseringsprotokollen uten svakhetene. Men også denne utgaven skal ifølge Fayó være sårbar i standardkonfigurasjon.

Dessuten skal Oracle-klienter eldre enn versjon 11.2.0.3 ikke fungere med den oppdaterte utgaven av autentiseringsprotokollen, versjon 12.

- De fikset aldri den gjeldende versjonen, så dagens 11.1 og 11.2-versjoner er fremdeles sårbare, sier Fayó. Han hevder også at Oracle ikke har planer om å utgi en sikkerhetsfiks som fjerner sårbarheten i versjon 11.1.

Den beste fremgangsmåten for å unngå angrep er å installere den aktuelle sikkerhetsfiksen hvis det er mulig, og deretter aktivere den nye protokollen.

- Men selv de som fortsetter å bruke sårbare systemer kan ta forholdsregler som langt på vei kan hjelpe, skriver Ars Technica.

Oppfordringen deres til berørte database-administratorer er å sørge for at alle passord er tilfeldig genererte og på minst 9 tegn, helst gjerne enda flere.

    Les også:

Til toppen