Oracles Passwortsystem in der Kritik

28.10.2005

MÜNCHEN (COMPUTERWOCHE) - Sicherheitsspezialisten warnen vor Fehlern in dem von Oracle benutzten Verfahren zum Verschlüsseln von Passwörtern von Datenbanknutzern. Wie Joshua Wright, Forscher am SANS-Institute, und sein Kollege Carlos Cid von der Information Security Group am Royal Holloway College der University of London in einem Paper zeigen, lassen sich selbst komplexe, chiffrierte Kennungen innerhalb von Minuten im Klartext auslesen.

Schuld sind den Experten zufolge ein schwacher Hashing-Algorithmus und die fehlende Erhaltung der Groß- beziehungsweise Kleinschreibung von Buchstaben. Oracle wandelt das komplette Passwort in Großschreibung um, bevor der Hash-Wert berechnet wird.

Um diese Schwachstelle ausnutzen zu können, muss ein Angreifer über einen Passwort-Hash für einen Datenbankbenutzer verfügen. Diese Information lasse sich auf verschiedene Weise besorgen, entweder durch direkten Zugriff auf das System, mit Hilfe von Backup-Bändern oder mit Hilfe von SQL-Injection, warnt SANS.

Wie die Experten mitteilen, wurde der Datenbankspezialist bereits am 12. Juli über diese Schwachstelle informiert. Bislang habe Oracle jedoch nicht reagiert. (ave)

Newsletter 'Nachrichten morgens' bestellen!