Pesquisador descobre falha em banco de dados Oracle
De acordo com Esteban Martinez, hacker pode usar vulnerabilidade para recuperar e alterar dados armazenados.
Alguns bancos de dados Oracle têm o que os especialistas dizem ser uma falha grave no sistema de login que um hacker pode usar para recuperar e alterar dados armazenados.
A falha, identificada no Oracle Database 11g, versões 1 e 2, deixa o token fornecido pelo servidor aberto a um ataque de força bruta antes que a autenticação seja concluída, afirma Esteban Martinez Fayo, pesquisador de segurança de aplicativos que descobriu a vulnerabilidade. Se for bem-sucedido, um atacante pode obter acesso ao banco de dados.
Fayo descobriu o problema depois de perceber que o cliente e o servidor tratavam logins com senhas incorretas de forma diferente. Um exame mais detalhado levou à descoberta. "Um desvio de autenticação é muito grave", observa Kevin Mitnick, conhecido hacker e fundador da Mitnick Security Consulting. "Basicamente, um atacante pode chegar aos dados armazenados no banco de dados, e até mesmo mudá-los."
A vulnerabilidade decorre da maneira como o protocolo de autenticação protege as chaves de sessão. Quando um cliente conecta-se ao servidor de banco de dados, uma chave de sessão é enviada. Como isso acontece antes de o processo de autenticação ser concluído, um hacker trabalhando remotamente pode ligar a chave a um hash de senha específica.
A CSO nos Estados Unidos contatou a Oracle, que não respondeu a um pedido de comentário. A empresa corrigiu a falha na última atualização do protocolo de autenticação, a versão 12. No entanto, não está planejando um patch para a versão defeituosa, a 11.1, afirma Fayo. Mesmo com a atualização, os administradores de banco de dados têm de configurar o servidor para permitir apenas a nova versão do protocolo.
Brent Huston, presidente-executivo da empresa de testes de segurança MicroSolved, aponta que devido à vulnerabilidade, os clientes que não tenham atualizado seus bancos de dados terão de implementar alguma forma de proteção, especialmente se eles estão sujeitos a fiscalização pelos órgãos reguladores.
Últimas Notícias
Empresas deveriam investir mais no Sistema Operacional Humano
Em 15 anos, muito se fez em tecnologia para proteção de dispositivos. Mas,...
Pesquisa revela salários de TI no Brasil em 2016.
Robert Half prevê maior demanda por gerentes de tecnologia, analistas de in...
Tablets ganham espaço nas empresas e veem futuro promissor.
Lançamentos recentes da Apple e da Microsoft mostram que o mercado corporat...
Pesquisa sugere que aplicativos iOS são mais vulneráveis do que Android
Relatórios da Checkmarx e da AppSec Labs revelam ainda que os apps móveis c...
Cortar TI na crise é um tiro no pé
Confira o artigo de André Navarrete, presidente e fundador do GGTI e vice-p...
Três coisas que não nos contaram sobre segurança dos aplicativos
Apesar da ampla penetração dos aplicativos em nossas vidas, a segurança ain...
