To sikkerhedseksperter har fundet svagheder i den algoritme, som Oracle benytter til at beskytte kodeord i selskabets database-software. Det betyder, at det med relativt få ressourcer er muligt at knække kodeordene.
Oracle blev ifølge SANS Institute underrettet om problemer med kodeordsalgoritmen allerede i midten af juli, men softwarekæmpen har ikke svaret på gentagne henvendelser.
Derfor har de to eksperter nu valgt at offentliggøre deres fund for at få Oracles kunder med på deres side.
Oracle har indtil videre valgt at forholde sig tavs i forhold til sikkerhedsproblemet.
Problemet findes dels i den hash-algoritme, som beskytter kodeordene, og dels i den tilfældighedsgenerator, som bruges i forbindelse med algoritmen.
Ifølge de to sikkerhedseksperter vil det være muligt for en hacker at aflytte netværkstrafikken op opsnappe ukrypterede brugernavne og hash-værdier for kodeordene.
Med de to ting vil det være forholdsvis simpelt at udnytte svaghederne i algoritmen til at genskabe kodeordene og på den måde få adgang til systemet.
En anden indgang til systemet kan være sikkerhedshuller i tilknyttede webapplikationer, som kan give en hacker adgang til at sende SQL-kommandoer til databasen og få fat i de nødvendige hash-værdier og brugernavn ad den vej.
Indtil Oracle opdaterer softwaren, anbefaler de to sikkerhedseksperter, at systemadministratorerne strammer op på sikkerhedspolitikken.
For at beskytte systemet kan man vælge at bruge "stærkere" kodeord på mindst 12 tegn og give dem en maksimal levetid på to måneder.
Desuden kan man kryptere netværkstrafikken til og fra databaseserveren og sikre sig, at webapplikationer ikke kan give adgang til hash-værdierne.
