24/09/2012 | ANTONE GONSALVES, CSO/USA

Pesquisador descobre falha em banco de dados Oracle


De acordo com Esteban Martinez, hacker pode usar vulnerabilidade para recuperar e alterar dados armazenados.

Alguns bancos de dados Oracle têm o que os especialistas dizem ser uma falha grave no sistema de login que um hacker pode usar para recuperar e alterar dados armazenados.

A falha, identificada no Oracle Database 11g, versões 1 e 2, deixa o token fornecido pelo servidor aberto a um ataque de força bruta antes que a autenticação seja concluída, afirma Esteban Martinez Fayo, pesquisador de segurança de aplicativos que descobriu a vulnerabilidade. Se for bem-sucedido, um atacante pode obter acesso ao banco de dados.

Fayo descobriu o problema depois de perceber que o cliente e o servidor tratavam logins com senhas incorretas de forma diferente. Um exame mais detalhado levou à descoberta. "Um desvio de autenticação é muito grave", observa Kevin Mitnick, conhecido hacker e fundador da Mitnick Security Consulting. "Basicamente, um atacante pode chegar aos dados armazenados no banco de dados, e até mesmo mudá-los."

A vulnerabilidade decorre da maneira como o protocolo de autenticação protege as chaves de sessão. Quando um cliente conecta-se ao servidor de banco de dados, uma chave de sessão é enviada. Como isso acontece antes de o processo de autenticação ser concluído, um hacker trabalhando remotamente pode ligar a chave a um hash de senha específica.

A CSO nos Estados Unidos contatou a Oracle, que não respondeu a um pedido de comentário. A empresa corrigiu a falha na última atualização do protocolo de autenticação, a versão 12. No entanto, não está planejando um patch para a versão defeituosa, a 11.1, afirma Fayo. Mesmo com a atualização, os administradores de banco de dados têm de configurar o servidor para permitir apenas a nova versão do protocolo.

Brent Huston, presidente-executivo da empresa de testes de segurança MicroSolved, aponta que devido à vulnerabilidade, os clientes que não tenham atualizado seus bancos de dados terão de implementar alguma forma de proteção, especialmente se eles estão sujeitos a fiscalização pelos órgãos reguladores.

Ver mais...

Últimas Notícias

5 imperativos para nova onda da computação em nuvem

Uso de múltiplos provedores e adoção de tecnologias abertas estão entre os...

Zebra lança no Brasil novos quiosques de autoatendimento que permitem até bate-papo por vídeo com atendente

5 desafios que as organizações devem solucionar ao adotar IA e automação

Os avanços em inteligência artificial e aprendizado de máquina levaram a um...

Quanto uma empresa deve investir em segurança?

Tamanho da empresa não deve ser fator significativo, já que pequenos negóci...

IA é tendência entre profissões no segundo trimestre de 2019

Segundo relatório do site Freelancer.com, trabalhos relacionados à Inteligê...

Automação: a nova fase da transformação digital nas empresas

8 cuidados essenciais para proteger informações corporativas

Especialistas apontam diferentes caminhos para empresas e funcionários evit...

Empresas projetam até 30% da receita vindo de Internet das Coisas em dois anos

No entanto, o setor enfrenta uma lacuna significativa de habilidades de mão...

zaite
Nós usamos cookies e outras tecnologias semelhantes para melhorar a sua experiência em nosso site.
Ao utilizar nosso site e suas ferramentas, você concorda com a nossa Política de Privacidade.

HGCode - Política de Privacidade

Esta política estabelece como ocorre o tratamento dos dados pessoais dos visitantes dos sites dos projetos gerenciados pela HGCode.

As informações coletadas de usuários ao preencher formulários inclusos neste site serão utilizadas apenas para fins de comunicação de nossas ações.

O presente site utiliza a tecnologia de cookies, através dos quais não é possível identificar diretamente o usuário. Entretanto, a partir deles é possível saber informações mais generalizadas, como geolocalização, navegador utilizado e se o acesso é por desktop ou mobile, além de identificar outras informações sobre hábitos de navegação.

O usuário tem direito a obter, em relação aos dados tratados pelo nosso site, a qualquer momento, a confirmação do armazenamento desses dados.

O consentimento do usuário titular dos dados será fornecido através do próprio site e seus formulários preenchidos.

De acordo com os termos estabelecidos nesta política, a HGCode não divulgará dados pessoais.

Com o objetivo de garantir maior proteção das informações pessoais que estão no banco de dados, a HGCode implementa medidas contra ameaças físicas e técnicas, a fim de proteger todas as informações pessoais para evitar uso e divulgação não autorizados.

fechar