Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
Oracle Database
(Oracle Database)
Описание
Включен компонент удаленной аутентификации на уровне ОС, что позволяет обойти механизм аутентификации тех пользователей, для которых задан параметр IDENTIFIED EXTERNALLY.
Oracle предоставляет возможность доверить проведение аутентификации учетных записей с параметром IDENTIFIED EXTERNALLY клиенту. Возможность реализуется в базе данных путем настройки параметра REMOTE_OS_AUTHENT в файле init.ora. Такая настройка небезопасна, поскольку злоумышленник, действующий через сеть, может подключиться к Oracle якобы от имени учетной записи, для которой задан параметр IDENTIFIED EXTERNALLY. Если параметр REMOTE_OS_AUTHENT включен и злоумышленник может определить, что для пользователя настроена аутентификация на уровне операционной системы, у злоумышленника появится возможность подключиться к учетной записи без предоставления учетных данных для аутентификации.
При создании учетной записи можно выбрать аутентификацию с использованием пароля на уровне Oracle, либо на уровне операционной системы. При выборе аутентификации на уровне операционной системы как альтернативы аутентификации на уровне Oracle, создание учетной записи происходит с использованием следующего синтаксиса:
create user [NEWUSER] identified externally;
Полагаться на клиентскую аутентификацию для Oracle небезопасно, поскольку механизм защиты на стороне клиента можно с легкостью обойти.
Параметр REMOTE_OS_AUTHENT не рекомендуется использовать в Oracle 11g и старше. Нерекомендуемые параметры все еще являются рабочими, таким образом, настройка значения "TRUE" для указанного параметра все еще считается уязвимостью.
Oracle предоставляет возможность доверить проведение аутентификации учетных записей с параметром IDENTIFIED EXTERNALLY клиенту. Возможность реализуется в базе данных путем настройки параметра REMOTE_OS_AUTHENT в файле init.ora. Такая настройка небезопасна, поскольку злоумышленник, действующий через сеть, может подключиться к Oracle якобы от имени учетной записи, для которой задан параметр IDENTIFIED EXTERNALLY. Если параметр REMOTE_OS_AUTHENT включен и злоумышленник может определить, что для пользователя настроена аутентификация на уровне операционной системы, у злоумышленника появится возможность подключиться к учетной записи без предоставления учетных данных для аутентификации.
При создании учетной записи можно выбрать аутентификацию с использованием пароля на уровне Oracle, либо на уровне операционной системы. При выборе аутентификации на уровне операционной системы как альтернативы аутентификации на уровне Oracle, создание учетной записи происходит с использованием следующего синтаксиса:
create user [NEWUSER] identified externally;
Полагаться на клиентскую аутентификацию для Oracle небезопасно, поскольку механизм защиты на стороне клиента можно с легкостью обойти.
Параметр REMOTE_OS_AUTHENT не рекомендуется использовать в Oracle 11g и старше. Нерекомендуемые параметры все еще являются рабочими, таким образом, настройка значения "TRUE" для указанного параметра все еще считается уязвимостью.
Как исправить
Для предотвращения атаки следует изменить значение параметра remote_os_authent на "false". Значение параметра по умолчанию - "false". Для настройки параметра добавьте следующую строку в файл init.ora:
REMOTE_OS_AUTHENT=FALSE;
После изменения настроек потребуется остановить и перезапустить базу данных.
REMOTE_OS_AUTHENT=FALSE;
После изменения настроек потребуется остановить и перезапустить базу данных.