Pesquisador descobre falha em banco de dados Oracle
De acordo com Esteban Martinez, hacker pode usar vulnerabilidade para recuperar e alterar dados armazenados.
Alguns bancos de dados Oracle têm o que os especialistas dizem ser uma falha grave no sistema de login que um hacker pode usar para recuperar e alterar dados armazenados.
A falha, identificada no Oracle Database 11g, versões 1 e 2, deixa o token fornecido pelo servidor aberto a um ataque de força bruta antes que a autenticação seja concluída, afirma Esteban Martinez Fayo, pesquisador de segurança de aplicativos que descobriu a vulnerabilidade. Se for bem-sucedido, um atacante pode obter acesso ao banco de dados.
Fayo descobriu o problema depois de perceber que o cliente e o servidor tratavam logins com senhas incorretas de forma diferente. Um exame mais detalhado levou à descoberta. "Um desvio de autenticação é muito grave", observa Kevin Mitnick, conhecido hacker e fundador da Mitnick Security Consulting. "Basicamente, um atacante pode chegar aos dados armazenados no banco de dados, e até mesmo mudá-los."
A vulnerabilidade decorre da maneira como o protocolo de autenticação protege as chaves de sessão. Quando um cliente conecta-se ao servidor de banco de dados, uma chave de sessão é enviada. Como isso acontece antes de o processo de autenticação ser concluído, um hacker trabalhando remotamente pode ligar a chave a um hash de senha específica.
A CSO nos Estados Unidos contatou a Oracle, que não respondeu a um pedido de comentário. A empresa corrigiu a falha na última atualização do protocolo de autenticação, a versão 12. No entanto, não está planejando um patch para a versão defeituosa, a 11.1, afirma Fayo. Mesmo com a atualização, os administradores de banco de dados têm de configurar o servidor para permitir apenas a nova versão do protocolo.
Brent Huston, presidente-executivo da empresa de testes de segurança MicroSolved, aponta que devido à vulnerabilidade, os clientes que não tenham atualizado seus bancos de dados terão de implementar alguma forma de proteção, especialmente se eles estão sujeitos a fiscalização pelos órgãos reguladores.
Últimas Notícias
Os robôs vão mesmo roubar seu emprego? A resposta é...
De um lado, a robótica substituirá tarefas desempenhadas atualmente por hum...
Dell cria área focada em Internet das Coisas no Brasil
Estratégia alinha-se ao lançamento de um gateway que permite que as empresa...
Adoção chinesa de RFID se expande
A filial da Impinj em Xangai tem uma forte demanda por etiquetas e leitores...
O que o gestor pode fazer para diminuir o estresse da equipe de TI
Dimensione bem os esforços, gerencie tarefas, elimine interrupções improdut...
Afinal, o que é um CIO estratégico?
Está cada vez mais claro que é aquele que a empresa considera seu principal...
