Oracle in der Kritik

31.10.2005
Schwächen im Passwort-System gefunden.

Sicherheitsspezialisten warnen vor Fehlern in dem von Oracle benutzten Verfahren zum Verschlüsseln von Datenbank-Passwörtern. Wie ein Forscherteam des SANS-Institutes zeigte, lassen sich selbst komplexe chiffrierte Kennungen innerhalb von Minuten im Klartext auslesen.

Schuld sind den Experten zufolge ein schwacher Hashing-Algorithmus und die fehlende Erhaltung der Kleinschreibung von Buchstaben. Oracle wandelt das komplette Passwort in Großschreibung um, bevor der Hash-Wert berechnet wird.

Um die Schwachstelle ausnutzen zu können, muss ein Angreifer über einen Passwort-Hash für einen Datenbankbenutzer verfügen. Diese Information lasse sich zum Beispiel durch direkten Zugriff auf das System oder mit Hilfe von Backup-Bändern besorgen, warnt SANS. Oracle wurde den Experten zufolge bereits am 12. Juli über diese Schwachstelle informiert, habe bislang jedoch nicht reagiert. (ave)