Alfonso Maruccia

Oracle, spifferi nei database

Il sistema di login di Oracle Ŕ affetto da una vulnerabilitÓ nella gestione delle password. Basta un tentativo di login e il sistema potrebbe essere compromesso

Roma - Non bastassero i problemi con Java, Oracle deve ora far fronte a una nuova potenziale "minaccia" alla sicurezza delle sue tecnologie. Nella fattispecie il problema questa volta riguarda il sistema di login per l'accesso ai database, affetto da una vulnerabilità potenzialmente semplice da sfruttare.

Presente nelle release 1 e 2 del sistema di management Oracle Database 11g, la falla viene definita "Oracle stealth password cracking vulnerability" dai ricercatori e consiste in una non corretta gestione delle chiavi di sessione inviate ogni qualvolta un utente prova a fare il login sul sistema.

La chiave di sessione "spiffera" un hash crittografico usato per oscurare la password di accesso connessa ad un account utente, e una volta ottenuto tale hash è possibile procedere alla decrittazione con attacchi di forza bruta che non occupano più di cinque ore (su CPU standard) per password alfabetiche lunghe 8 caratteri.
Basta dunque conoscere un nome utente valido e sarebbe teoricamente possibile penetrare all'interno del database Oracle di una qualsiasi azienda, suggeriscono i ricercatori. Il problema è già stato risolto a partire dalla release 12 del software, posto che l'amministratore di sistema decida di servirsi del nuovo sistema di autenticazione.

Al momento Oracle non sembra intenzionata a chiudere la vulnerabilità sulle versioni precedenti del suo sistema di management, mentre i ricercatori sottolineano la necessità di adottare password lunghe e complesse per rendere impraticabile i tentativi di attacco a forza bruta da parte di malintenzionati.

Alfonso Maruccia
Notizie collegate
6 Commenti alla Notizia Oracle, spifferi nei database
Ordina
  • Scrivi qui da 9 secoli, non puoi tradurre "DBMS" come "sistema di management"!
    Va bene che di studiare i CONCETTI non se ne parla proprio, ok, chi legge questo sito evidentemente si è rassegnato all'idea che il "giornalista" più attivo potrebbe tranquillamente comprare una lavastoviglia pensando che sia un iPhone.
    Ma almeno IMPARARE A MEMORIA dovrebbe essere alla tua portata...

    Peraltro, anche a me Oracle fa schifo. Io so perchè e tu no, ma comunque il risultato finale è lo stesso. Quindi, dammi retta: se scrivi articoli per far credere che Oracle non è sicuro, la gente non ti legge nemmeno. Dovresti informarti su quali sono i motivi reali per non usare Oracle.
    Siccome l'etica non sai neanche cos'è, ti suggerisco una cosa facile facile: il prezzo. Anche riconoscendo la superiorità di Oracle su tutti i suoi concorrenti, il prezzo non è giustificato. Dal momento che in Italia spesso Oracle viene usato (e quindi PAGATO) da istituzioni pubbliche con soldi pubblici, uno che ce l'ha con Oracle (se sa di cosa parla) potrebbe tranquillamente far breccia nella testa delle persone con questo argomento.
    Però, se preferisci essere preso per un clown ogni volta che pubblichi qualcosa, dimentica questo consiglio e continua a scrivere "Mariucciate".
    non+autenticato
  • Poveri i clienti... er... ostaggi di oracle, quello di oracle assomiglia al modello di business del padrino...
    non+autenticato