一名软件安全专家在周三的一次安全会议上指出,甲骨文数据库对于用户密码缺乏足够的保护,袭击者可以在几分钟之内破解出密码明文。这对企业的数据安全构成了严重威胁。
[PChome.net北京消息]一名软件安全专家在周三的一次安全会议上指出,甲骨文数据库对于用户密码缺乏足够的保护,袭击者可以在几分钟之内破解出密码明文。这对企业的数据安全构成了严重威胁。
发现这个漏洞的安全专家是SANS学院的Joshua Wright和伦敦大学的Carlos Sid。周三,Wright在洛杉矶出席SANS网络安全会议时说,甲骨文数据库用户保存和加密用户密码的技术过于简单,其安全性远远不够。即使是“强度”最大的密码(即很难破解),也可以通过软件在几分钟之内破译。
在大会上,Wright介绍了甲骨文数据库加密用户密码的技术,并当场“出示”了一个他编写的密码破译工具程序。目前,Wright和Cid就此问题撰写的论文已经发布到了SANS的网站上。
两人指出,甲骨文的密码保护存在一系列漏洞,包括非常弱的杂凑(Hash)算法,以及忽略了密码的大小写。目前,甲骨文在加密密码前都会把它们转为大写字母。Wright和Cid在论文中称:“如果要利用这些弱点,攻击者只需要有线的资源即可从已知用户的杂凑密码中破解初明文密码。”
据悉,两人曾经在今年7月份向甲骨文通报了这一安全漏洞,但却是石沉大海。
近来,甲骨文公司在产品安全上所遭到的批评越来越多。安全界人士还认为甲骨文在修补软件漏洞方面动作迟缓,甚至连发布的软件补丁包中也存在问题。
网友评论