28.10.2005, 13:33 Uhr

Oracles Passwortsystem weist Fehler auf

Sicherheitsspezialisten warnen vor Fehlern in dem von Oracle benutzten Verfahren zum Verschlüsseln von Passwörtern von Datenbanknutzern.
Laut Experten sollen sich selbst komplexe, chiffrierte Kennungen innerhalb von wenigen Minuten im Klartext auslesen lassen. Schuld sind den Experten zufolge ein schwacher Hashing-Algorithmus und die fehlende Erhaltung der Gross- beziehungsweise Kleinschreibung von Buchstaben. Oracle wandelt das komplette Passwort in Grossschreibung um, bevor der Hash-Wert berechnet wird. Um diese Schwachstelle ausnutzen zu können, muss ein Angreifer über einen Passwort-Hash für einen Datenbankbenutzer verfügen. Diese Information lasse sich auf verschiedene Weise besorgen, entweder durch direkten Zugriff auf das System, mit Hilfe von Backup-Bändern oder mit Hilfe von SQL-Injection. Wie die Experten mitteilen, wurde der Datenbankspezialist bereits am 12. Juli über diese Schwachstelle informiert. Bislang habe Oracle jedoch nicht reagiert.



Das könnte Sie auch interessieren