安全研究
紧急通告
Oracle Database身份验证协议离线口令破解漏洞
发布日期:2012-10-19
CVE ID:CVE-2012-3137
BUGTRAQ ID:55651
受影响的软件及系统:
====================
Oracle Database 10.2.0.3
Oracle Database 10.2.0.4
Oracle Database 10.2.0.5
Oracle Database 11.1.0.7
Oracle Database 11.2.0.2
Oracle Database 11.2.0.3
未受影响的软件及系统:
======================
Oracle Database 12
综述:
======
Oracle Database是甲骨文公司的一款关系数据库管理系统。
Oracle Database 10g/11g身份验证协议实现中存在缺陷,攻击者无需认证即可远程获取数据库用户密码哈希相关数据,从而可以离线暴力破解用户密码,进一步控制数据库系统。
关于此漏洞的技术细节和破解工具已经公开,有可能出现大规模的针对Oracle数据库的扫描攻击行为。Oracle已经在2012年10月16日发布了安全升级包修复此漏洞,强烈建议Oracle数据库用户及时修补此漏洞。
分析:
======
Oracle Database是甲骨文公司的一款关系数据库管理系统。
Oracle Database 10g/11g身份验证协议实现中存在一个设计缺陷。当客户端连接Oracle数据库在进行身份验证时,会首先提交登录用户名信息。数据库服务端会根据用户名查找该用户的口令哈希,并组合生成一个密钥,然后用这个密钥对一个随机数进行AES加密生成会话密钥(Session Key),并将其和用户口令Salt值一起发给客户端。由于在随机数生成机制上存在问题,导致攻击者可以得知部分明文,从而可以通过对会话密钥进行解密的方式来离线暴力猜测用户密码。
由于用户仅仅需要提交用户名信息就可以得到进行离线暴力破解的足够信息,无需完成整个身份认证过程,数据库服务器端不会留下任何口令猜测的记录。如果某些数据库用户的口令设置比较薄弱,就很容易被攻击者用来登录Oracle数据库。
解决方法:
==========
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 在主机或边界防火墙设备上只允许可信任IP访问oracle数据库主机和端口(TCP/1521)。
* 提高Oracle数据库中各个用户的口令强度,避免易被猜测的薄弱口令。
厂商状态:
==========
Oracle已经在2012年10月16日发布了一个安全公告(cpuoct2012-1515893)以及相应补丁修复此漏洞。建议Oracle数据库用户尽快下载安装升级包或联系Oracle技术支持人员进行升级。
厂商安全公告:
cpuoct2012-1515893:Oracle Critical Patch Update Advisory - October 2012
http://www.oracle.com/technetwork/topics/security/cpuoct2012-1515893.html
附加信息:
==========
1. http://arstechnica.com/security/2012/09/oracle-database-stealth-password-cracking-vulnerability/
2. http://threatpost.com/en_us/blogs/flaw-oracle-logon-protocol-leads-easy-password-cracking-092012
3. http://www.oracle.com/technetwork/topics/security/cpuoct2012-1515893.html
4. http://www.nsfocus.net/index.php?act=alert&do=view&aid=128
5. http://www.nsfocus.net/vulndb/20847
声 明
==========
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。
关于绿盟科技
============
绿盟科技(NSFOCUS Co., Ltd.)是中国网络安全领域的领导企业,致力于网络和系统安全问题的研究、高端网络安全产品的研发、销售与网络安全服务,在入侵检测/保护、远程评估、 DDoS攻击防护等方面提供具有国际竞争能力的先进产品,是国内最具安全服务经验的专业公司。有关绿盟科技的详情请参见: http://www.nsfocus.com
© 2024 绿盟科技