Der unabhängige IT- und Tech-Kanal!

internet.board.entertainment.games.hardware

gulli Logo
  • Home
    • Seit 1998 unabhängiger IT- und Tech Kanal, Forum mit über 1 Million registrierter Usern
  • Board
    • Seit 1998 unabhängiger IT- und Tech Kanal, Forum mit über 1 Million registrierter Usern
  • News
    • Topnews
    • Interviews
    • Glossen
    • Reportagen
    • Kurioses
    • RSS-Feed
    • Twitter
    • Newsletter
  • NewsPresso
    • Newsübersicht
    • Regeln
    • Highscore
    • RSS-Feed
  • Internet
    • Wissenswertes
    • Filesharing
    • Denkanstösse
  • IT-Sicherheit
    • IT-Lexikon
    • Gesetzliche Lage
    • Cyberkriminalität
    • Abwehrmaßnahmen
    • IT-Forensik
    • Privatsphäre bei Facebook
  • Hard- und Software
    • Zeitreise - PC und N-books
    • Tools
  • Games
    • Geschichte, Gegenwart und Zukunft der PC-Spiele
    • Online-Spiele
    • gulli:Wettbewerbe
    • gulli:Spiele
  • Mobile
    • Zeitreise - Mobile Endgeräte
  • Ansichtssache
    • Kommentiere und bewerte die Fundstücke.
  • Apps
    • Seit 1998 unabhängiger IT- und Tech Kanal, Forum mit über 1 Million registrierter Usern
  • Gulli.com
  • News
  • Ekoparty: Oracle-Schwachstelle aufgedeckt
vorherige News
nächste News

Ekoparty: Oracle-Schwachstelle aufgedeckt

Der Sicherheitsexperte Fayó berichtete auf der Konferenz Ekoparty von einer von ihm entdeckten Sicherheitslücke in Oracles Authentifizierungsprotokoll. Laut Fayó macht es diese Lücke Angreifern leicht, Passwörter zu knacken, und wurde von der Herstellerfirma nicht ausreichend geschlossen.

Von Mittwoch bis zum heutigen Freitag findet in Buenos Aires die Sicherheitskonferenz Ekoparty statt. Auf dieser Konferenz berichtete Esteban Martinez Fayó (Wissenschaftler von AppSec Inc.)über eine von ihm festgestellte Sicherheitslücke im Authentifizierungsprotokoll für die Datenbank des Unternehmens Oracle. Oracle ist einer der weltweit größten Softwarehersteller und hat zwar mit dem Patch-Set in der neuen Protokollversion 12 diese Lücke geschlossen, es habe jedoch, so Fayó, „nie einen Fix für die Datenbankversionen 11.1 und 11.2 gegeben“.

Die Schwachstelle, welche Fayó aufzeigt, ist folgende: Als erster Schritt beim Versuch des Nutzers, sich einzuloggen, wird vom kontaktierten Server ein sogenannter Session-Key an den Anwender übermittelt und ein Salt-Wert zugeordnet. Letzterer ist dafür gedacht, das Passwort möglichst sicher zu erhalten. Die Schwachstelle liegt bereits an diesem Punkt, das heißt, bevor die Authentifizierung abgeschlossen ist. Es ist jemandem von einem anderen Computer aus möglich, einen bestimmten Session-Key mit einem bestimmten Passwort-Hash zu verlinken. Der Session-Key sei ein Zufallswert, den der Server generiere und als erstes im Authentifizierungsprozess übermitteln würde, so Fayó. Da zu diesem Zeitpunkt noch keine Authentifizierung notwendig sei, habe der Angreifer relativ leichtes Spiel, indem er Passwörter ausprobieren könne, ohne dass die Fehlversuche vom Server aufgezeichnet würden. Diese Tatsache hat dem Sicherheitsexperten geholfen, die Sicherheitslücke zu finden, weil sich die vom Nutzer wahrgenommenen Fehlversuche nicht mit denen auf dem Server deckten.

Da es sich um ein weithin eingesetztes Produkt handelt, das auf so einfache Weise ausgenutzt werden kann, sieht Fayó die Schwachstelle als gefährlich an. Der Angreifer müsse lediglich ein paar Datenpakete schicken oder einen Standard-Oracle-Client benutzen, um an Session-Key und Salt zu gelangen. Damit ist er in der Lage, einen Brute-Force-Angriff auf Passwörter durchzuführen. In Fayós Testsituation dauerte das Knacken normaler Passwörter mit einem Standardcomputer um die fünf Stunden. Zusätzlich zum Patch oder vielleicht gar, statt diesen zu benutzen, können Netzwerkadministratoren die Schwachstelle auch dadurch entschärfen, dass sie externe Authentifizierung verlangen oder das Oracle-Protokoll in Version 11 auf dem Server deaktivieren.

Bild-Quellen: wikipedia

am Freitag, 21.09.2012 14:37 Uhr

Tags: sicherheitslücke oracle ekoparty

Reaktionen zu dieser Nachricht

weitere Kommentare lesen     Nachricht kommentieren

Weitere interessante News
News [Kurioses]

Milliardärssohn kauft sieben iPhones für seinen Hund

News Redaktion am 21.09.2016, 09:04 Uhr

Da kann der Hund aber viel telefonieren: Milliardärssohn kauft Hund sieben iPhones.

So tickt die Welt eben: Einige Menschen haben so viel Geld, dass sie nicht wissen, was sie damit tun sollen, andere müssen darum bangen, sich etwas zu Essen leisten zu können. Der Sohn eines chinesischen Milliardärs beispielsweise kaufte für seinen Hund gleich sieben iPhones.

mehr lesen...

gulli:picsArtikel empfehlengulli RSS News Feedsgulli RSS NewsPresso Feedsgulli:Newslettergulli twittertgulli bei facebookGoogle+gulli:news im AppStore
  • Home
  • News
  • NewsPresso
  • Internet
  • IT-Sicherheit
  • Hard- und Software
  • Games
  • Mobile
  • Werbung
  • Presse
  • Kontakt
  • Impressum / Datenschutz
  • Chat
  • Jobs
  • Suche

© 1998-2018 gamigo Advertising GmbH

Hardwareclips