Av
Det är Oracle Database 11g Release 1 och 2 som är i blickfånget. Säkerhetshålet innebär att en inkräktare kan få tillgång till en databas, berättar säkerhetsforskaren Esteban Martinez Fayo. Det var han som upptäckte säkerhetshålet.
– Det är tämligen allvarligt att det går att ta sig förbi inloggningen, skriver Kevin Mitnick, grundare av Metnick Security, i ett mejl till IDG News.
Felet grundar sig i att en inkräktare kan ta del av kommunikationen mellan server och klient under inloggningsproceduren och då skicka i väg miljontals lösenord per sekund i ett försök att få tillgång till en databas. Ett lyckat intrånget medför ingen varning från databashanteraren.
Oracle har täppt till hålet för version 12 av inloggningsprotokollet, men planerar ingen patch för version 11.1, enligt Esteban Martinez Fayo. Det innebär att en administratör bör konfigurera en databas så att endast den senaste versionen av inloggningsprotokollet används.
Oracle har inte kommenterat säkerhetshålet.
– Det är tämligen allvarligt att det går att ta sig förbi inloggningen, skriver Kevin Mitnick, grundare av Metnick Security, i ett mejl till IDG News.
Felet grundar sig i att en inkräktare kan ta del av kommunikationen mellan server och klient under inloggningsproceduren och då skicka i väg miljontals lösenord per sekund i ett försök att få tillgång till en databas. Ett lyckat intrånget medför ingen varning från databashanteraren.
Oracle har täppt till hålet för version 12 av inloggningsprotokollet, men planerar ingen patch för version 11.1, enligt Esteban Martinez Fayo. Det innebär att en administratör bör konfigurera en databas så att endast den senaste versionen av inloggningsprotokollet används.
Oracle har inte kommenterat säkerhetshålet.
