Csendesen rúgjuk be az Oracle ajtaját

2012 szeptember 29 - admin

Esteban Fayó olyan módszert mutatott be a múlt heti Ekoparty konferencián, melynek alkalmazásával anélkül pörgethetők ki az Oracle adatbázisok jelszavai, hogy akár egyetlen sikertelen belépési kísérlet is naplózásra kerülne a szerveren, ráadásul a támadás offline (vagyis iszonyú gyorsan) végezhető.

Fayó akkor figyelt fel a problémára, mikor azt tapasztalta, hogy bizonyos sikertelen belépési kísérletek nem kerülnek rögzítésre az RDBMS naplóiban. Némi nyomozás után félelmetes felfedezés született: az Oracle saját autentikációs protokollja (O5LOGON) a kliensek csatlakozásakor elküldi a session kulcsot valamint a felhasználói jelszó hasheléséhez használt salt értéket, a session kulcsból pedig maga a hash is kikövetkeztethető (csak nekem jut eszembe az ISAKMP aggresive mode?)! Az információk kinyerése után a kapcsolat lebontható, a kiszolgáló pedig úgy tesz, mintha mi sem történt volna. 

Bár a támadás pontos részletei egyelőre nem nyilvánosak, a fenti információk birtokában némi reverse-engineering segítségével kinyomozhatók az Oracle kódolásának részletei. Az Oracle az adatbáziskezelő 11.2.0.3-as változatában adta ki a protokoll javított változatát, ez azonban nincs bekapcsolva alapértelmezetten. Fontos megjegyezni, hogy ez nem egy CPU-s folt volt, hanem egy új release, ilyen javítás a 10.2, 11.1 és 11.2-es változatokhoz októberben várható. 

A problémára további ideiglenes megoldást jelenthet a régi O3LOGON protokollra, vagy külső hitelesítő szolgáltatásra történő átállás. Az Oracle ezen kívül a legalább 12 karakteres jelszavak használatát javasolja, ami  a tapasztalat szerint sci-fi a gyakorlatban. Az Oracle mindezt a 1492721.1-es azonosítójú support doksiban részletezi a fizető ügyfeleknek. 

Megosztom Facebookon!
Megosztom iWiWen!
Megosztom Twitteren!
Megosztom Google Buzzon!
Megosztom Google Readeren!
Megosztom Tumblren!


Szólj hozzá, vagy olvass bővebben a témáról itt: BuheraBlog

Szólj hozzá!

Ha az eredeti cikkhez nem lehet, itt megteheted!