Sicherheits-Experte findet Fehler in Oracles Passwort-Authentifizierung

Kaspersky Lab fasst in seinem “Lab Security News Service” kurz zusammen, was der Südamerikaner demonstrierte: Mit nur einem Nutzernamen und dem Namen der Datenbank gewappnet, kann ein kleines Tool die Datenbank kompromittieren. Das Werkzeug dazu habe er selbst geschrieben und hätte damit geschafft, den Passwortschutz zu umgehen und auf Nutzerdaten zuzugreifen.

“Es ist ziemlich einfach”, sagte Martinez Fayo dem Blog Dark Reading. “Ein Fehler im kryptografischen Verfahren von Oracles Passwort-Authentifizierung, der einen Brute-Force-Angriff extrem vereinfache, habe den Knack der Datenbank ermöglicht. Man benötige nicht einmal einen “Man in the Middle”, um eine Vielzahl von Nutzern vorzutäuschen – der Server stelle dem Angreifer selbst wichtige Informationen zur Verfügung.

Der Forscher und sein Team hätten Oracle nach ihren Angaben erstmals im Mai 2010 über das Problem informiert. Im Jahr darauf sei es behoben worden – aber nicht in der aktuellen Version, sodass 11.1 und 11.2 noch für den Angriff anfällig sind. Die kürzlich vorgestellte Version 12 wiederum enthält die Lücke nicht mehr.

Allerdings können Firmen, die die anfälligen Versionen nutzen, einen Workaround implementieren: “Schalten Sie das Protokoll in Version 11.1 aus und nutzen Sie stattdessen eine ältere Version, etwa 10g.” Das halte er für eine extrem wichtige Maßnahme.
Im Januar hatte Oracle 78 Softwarefehler in seinen Produkten behoben, die unter anderem ein Eindringen in die Datenbank aus der Ferne ermöglichten. Daneben ist Java ein weiteres Problemkind des Konzerns. In dem Sicherheitsupdate Java 7 Update 7 wurde kürzlich wenige Stunden nach Veröffentlichung wieder eine Lücke gefunden.

[mit Material von Dara Kerr, News.com und Florian Kalenda, zdnet.de]