Специалисты по информационной безопасности в четверг вечером распространили предупреждение об обнаружении опасной уязвимости в системе авторизации пользователей Oracle Database. Ввиду широкой популярности этой системы в корпоративном, государственном и военном секторах, под ударом могут оказаться многие гигабайты секретных данных.

Исследователи говорят, что проблема "Oracle stealth password cracking vulnerability" позволяет перехватывать сессионные ключи из Oracle Database 11g Release 1 и 2 во время передачи этих данных легитимным пользователем в систему авторизации СУБД. В компании Threadpost, обнаружившей уязвимость, говорят, что проблема относится к классу man-in-the-middle, то есть хакер должен каким-то образом расположить программу-перехватчик между клиентом и СУБД.

В самой Threadpost говорят, что создали демо-эксплоит и передали его в Oracle. Как говорят эксперты, изначально система авторизации Oracle шифрует все пользовательские данные, однако существует возможность перехвата шифрованных данных, а сама система, шифрующая информацию ненадежна и позволяет взломать логин/пароль на современном ЦПУ примерно за пять часов.

В Oracle говорят, что получили данные о проблеме и в будущей Oracle Database 12c полностью изменят протокол аутентификации, однако пользователям существующей версии 11.1 глобальных изменений ждать не следует.

Подробные сведения об уязвимости доступны по адресу https://threatpost.com/en_us/blogs/flaw-oracle-logon-protocol-leads-easy-password-cracking-092012