Sicherheitsforscher Esteban Martinez Fayo von AppSec hat gezeigt, wie einfach sich Oracle-Datenbanken hacken lassen. Kaspersky Lab fasst seinen in Argentinien gehaltenen Vortrag zusammen. Demnach benötigt er nur fünf Stunden und ein selbst geschriebenes Werkzeug, um den Passwortschutz zu umgehen und auf Nutzerdaten zuzugreifen.
„Es ist ziemlich einfach“, sagte Martinez Fayo dem Blog Dark Reading. „Der Angreifer muss nur einen gültigen Nutzernamen der Datenbank kennen und den Namen der Datenbank selbst. Das ist alles.“ Schuld sei ein Fehler im kryptografischen Verfahren von Oracles Passwort-Authentifizierung, der einen Brute-Force-Angriff extrem vereinfache. Man benötige nicht einmal einen „Man in the Middle“, um eine Vielzahl von Nutzern vorzutäuschen – der Server stelle dem Angreifer selbst wichtige Informationen zur Verfügung.
Oracle haben der Forscher und sein Team nach ihren Angaben erstmals im Mai 2010 über das Problem informiert. Im Jahr darauf sei es behoben worden – aber nicht in der aktuellen Version, sodass 11.1 und 11.2 noch für den Angriff anfällig sind. Die kürzlich vorgestellte Version 12 wiederum enthält die Lücke nicht mehr.
Allerdings können Firmen, die die anfälligen Versionen nutzen, einen Workaround implementieren: „Schalten Sie das Protokoll in Version 11.1 aus und nutzen Sie stattdessen eine ältere Version, etwa 10g.“ Das halte er für eine extrem wichtige Maßnahme.
Im Januar hatte Oracle 78 Softwarefehler in seinen Produkten behoben, die unter anderem ein Eindringen in die Datenbank aus der Ferne ermöglichten. Daneben ist Java ein weiteres Problemkind des Konzerns. In dem Sicherheitsupdate Java 7 Update 7 wurde kürzlich wenige Stunden nach Veröffentlichung wieder eine Lücke gefunden.
[mit Material von Dara Kerr, News.com]
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…