Vigil@nce : Oracle Database, brute force sur l’authentification
octobre 2012 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant du réseau peut mener une attaque brute force sur le
protocole d’authentification version 11 de Oracle Database, afin
de se connecter en cinq heures.
– Produits concernés : Oracle DB
– Gravité : 2/4
– Date création : 21/09/2012
DESCRIPTION DE LA VULNÉRABILITÉ
L’accès à la base Oracle Database nécessite une authentification.
Le protocole d’authentification est en version 10, 11.1 ou 11.2.
Les versions 11.1 et 11.2 utilisent un haché, avec un sel (salt).
Cependant, l’algorithme utilisé est faible. Un mot de passe de 8
caractères en minuscule peut être trouvé en 5 heures par brute
force. Les détails techniques ne sont pas connus.
Un attaquant du réseau peut donc mener une attaque brute force sur
le protocole d’authentification version 11 de Oracle Database,
afin de se connecter en cinq heures.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Oracle-Database-brute-force-sur-l-authentification-11966