31.10.2005г.
Система паролей Oracle подверглась критике
Из-за слабого механизма защиты злоумышленники могут легко подобрать пароли пользователей базы данных Oraclе, что ставит под удар корпоративные данные, предупреждают эксперты.
Они критикуют методы защиты Oracle, призывая производителя ПО усовершенствовать механизм, применяемый для обеспечения безопасности паролей пользователей базы данных. Исследователи обнаружили способ вскрытия plain text-паролей за считанные минуты, даже если они очень длинные и составлены правильно.
Метод, используемый Oracle для хранения и шифрования паролей пользователей, не обеспечивает достаточной безопасности, утверждают Джошуа Райт из SANS Institute и Карлос Кид из Royal Holloway College при Лондонском университете. В среду Райт продемонстрировал это на конференции SANS Network Security в Лос-Анджелесе.
В своей презентации Райт рассказал, как шифруются пароли перед сохранением в базе данных Oracle, и представил написанный им инструмент для их расшифровки. С работой Райта и Кида можно ознакомиться на веб-сайте SANS (загрузить PDF).
Райт и Кид указывают на несколько уязвимостей, включая слабый механизм хэширования и несохранение регистра, - перед вычислением хэша все пароли преобразуются в прописные символы. "Используя эти слабые звенья, злоумышленник, располагающий ограниченными ресурсами, может организовать атаку, позволяющую извлечь из хэша plain text-пароль известного ему пользователя", - говорится в работе.
В июле исследователи проинформировали Oracle о своей находке, но на последующие запросы компания не отвечала. Oracle не ответила и на просьбу CNET News.com о комментарии для этой статьи.
Пользователи Oracle могут защитить свои системы, потребовав применения сильных паролей и установив ограниченные права доступа. Исследователи призывают их также обратиться к Oracle с просьбой усовершенствовать систему защиты паролей.
Методы защиты данных Oracle все чаще подвергаются критике. Секьюрити-эксперты обвинили компанию в медлительности при исправлении уязвимостей и выпуске некачественных поправок.
Источник: ZDNET
При перепечатке материала ссылка на innov.ru обязательна
Все новости рубрики