@Izzet12 окт 2012 в 13:57

Уязвимость в протоколе аутентификации Oracle 11g

3 мин

11K

Информационная безопасность *

Из песочницы

+37

Комментарии 12

@ProstoTyoma 12 окт 2012 в 15:22

Я правильно понял, что соль передается в открытом виде клиенту?

@Izzet 12 окт 2012 в 15:40

Да, так и есть

НЛО прилетело и опубликовало эту надпись здесь

@Vilko 13 окт 2012 в 11:24

Чот уже слишком долго для такой компании дефейс висит…

НЛО прилетело и опубликовало эту надпись здесь

@Vilko 12 окт 2012 в 16:28

В 10g данная уязвимость так-же имеет место быть, или появилась только в 11?

@Izzet 13 окт 2012 в 07:22

В предыдущих версиях используется другой механизм и судя по работе The next level of Oracle attacks для локального брутфорса необходимо перехватить трафик при аутентификации легального пользователя. В 11g это делать необязательно, т.к. сервер генерирует не совсем рандомный ключ сессии. Попробую посмотреть, как он выглядит в предыдущих версиях.

@IRonHulk 12 окт 2012 в 17:19

ну давайте еще про каждую cve пост писать будем… все кому надо уже давно проэксплуатировали, а кому не надо — и не будут.

@mapron 13 окт 2012 в 04:25

Это не просто взятая и процитированная новость, а хороший разбор уязвимости, в назидание, с картинками. На мой взгляд, уж пусть лучше побольше ТАКИХ статей чем фотографий офисов и «как эффективно использовать свое время», пережеванных на много раз.

@Brass_nn 17 окт 2012 в 11:30

Подводя итог.
Уязвимость закрыта в DATABASE PATCH SET UPDATE 11.2.0.2.8 (INCLUDES CPUOCT2012).

Зарегистрируйтесь на Хабре, чтобы оставить комментарий