部分版本Oracle数据库存在暴力破解漏洞

phper 2012-09-22 217076人围观 ,发现 6 个不明物体 漏洞

研究人员Martinez Fayo最近发现,部分版本Oracle数据库在认证协议中存在数个漏洞,可以使攻击者通过暴力破解服务器提供的token优先登录认证和决定用户的密码。

Martinez Fayo和他的团队在2010年5月第一次向Oracle提交了这些bug。Oracle在2011年中期通过11.2.0.3补丁修复了这个问题。”但是他们没有修复最新的版本,所以11.1和11.2仍然存在这个漏洞。“Martinez Fayo说,并且Oracle没有计划修复这些版本。

”只要攻击者拥有一个Session Key和一个Salt(和Session Key一起由服务器送出),攻击者就可以通过每秒数百万次的暴力尝试直至获取他们。这非常类似于SHA-1 密码Hash破解。值得一提的是,彩虹表在这里并没有用因为在密码Hash生成的时候有Salt,但是通过GPU加上类似于 Dictionary hybrid攻击可以使我们更有效率。"

“我已经发明了一个利用工具,可以使用普通的CUPS,在大约5小时破解8位字符以内密码。” Martinez Fayo说。
发表评论

已有 6 条评论

取消
Loading...
css.php