Пароли доступа к СУБД Oracle можно легко
взломать из-за их слабого шифрования,
утверждают исследователи Джошуа Райт из
института SANS и Карлос Сид из колледжа Royal
Holloway при Лондонском университете. Райт
представил свои изыскания на конференции
сетевой безопасности SANS в Лос-Анжелесе.
Уязвимость паролей, по его мнению, в слабом
механизме хэширования и отсутствии
различия между регистром символов. Перед
тем, как создать хэш, Oracle переводит все
символы в верхний регистр. Хэш – участок
данных, который получается преобразованием
пароля по определенному одностороннему
алгоритму, обычно, меньший по размеру. Для
авторизации хэш отправляется на сервер
вместо пароля и там сравнивается с хэшем,
хранящимся в базе данных паролей. Обратное
преобразование хэша невозможно, однако с
Oracle это не так, утверждают исследователи.
"Используя эти слабости, сторона с
ограниченными ресурсами может устроить
атаку, которая позволит получить пароль из
хэша при знании имени пользователя". Райт
и Сид предупредили Oracle о своем открытии еще
в июле, но, по их словам, компания не
ответила на их запрос.
