Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

31.10.2005

Oracle in der Kritik

Schwächen im Passwort-System gefunden.

Sicherheitsspezialisten warnen vor Fehlern in dem von Oracle benutzten Verfahren zum Verschlüsseln von Datenbank-Passwörtern. Wie ein Forscherteam des SANS-Institutes zeigte, lassen sich selbst komplexe chiffrierte Kennungen innerhalb von Minuten im Klartext auslesen.

Schuld sind den Experten zufolge ein schwacher Hashing-Algorithmus und die fehlende Erhaltung der Kleinschreibung von Buchstaben. Oracle wandelt das komplette Passwort in Großschreibung um, bevor der Hash-Wert berechnet wird.

Um die Schwachstelle ausnutzen zu können, muss ein Angreifer über einen Passwort-Hash für einen Datenbankbenutzer verfügen. Diese Information lasse sich zum Beispiel durch direkten Zugriff auf das System oder mit Hilfe von Backup-Bändern besorgen, warnt SANS. Oracle wurde den Experten zufolge bereits am 12. Juli über diese Schwachstelle informiert, habe bislang jedoch nicht reagiert. (ave)