Volgens een beveiligingsonderzoeker zijn recente Oracle 11g-databases relatief eenvoudig te hacken. Uit de sessiekey die bij een loginpoging naar de client wordt gestuurd, kan informatie uit de wachtwoord-hash worden afgeleid.
Dat heeft de Argentijnse beveiligingsonderzoeker Esteban Martínez Fayó ontdekt, schrijft Threatpost, een securityblog van beveiligingsbedrijf Kaspersky. Volgens Martínez Fayó verstuurt de Oracle 11g-databaseserver bij een inlogpoging een sessie-key die informatie bevat over de wachtwoord-hash naar de client. Een vereiste is wel dat een aanvaller de naam van de te hacken gebruiker kent, evenals de naam van de database.
Na het opvragen van de sessie-key kan de verbinding worden gesloten en kan lokaal worden begonnen met het brute forcen van de key, aldus de onderzoeker. Het gebruiken van rainbow tables, waarbij wachtwoorden en hashes als in een soort telefoonboek aan elkaar zijn gekoppeld, is niet mogelijk, omdat de wachtwoorden zijn gesalt; er zijn unieke waardes aan toegevoegd, juist om rainbow tables onmogelijk te maken.
Volgens Martínez Fayó is het op een standaarddesktop mogelijk om simpele wachtwoorden binnen vijf uur te kraken. Hoeveel tijd voor moeilijkere wachtwoorden nodig is, is onduidelijk. Zowel versie 1 als versie 2 van de Oracle 11g-databases is kwetsbaar.
Oracle heeft een nieuwe versie van het loginprotocol vrijgegeven die de kwetsbaarheid niet meer bevat. Beheerders moeten deze nieuwe versie echter zelf installeren en configureren, benadrukt Martínez Fayó. Er komt geen beveiligingsupdate voor de vorige versie van het protocol. Om het probleem te omzeilen kan ook externe authenticatie worden uitgeschakeld, wat vaak toch al is aan te raden.