Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
Oracle Database
(Oracle Database)
Описание
Найден профиль, в котором значение параметра PASSWORD_GRACE_TIME не входит в диапазон значений, соответствующих требованиям безопасности.
Управление паролями в Oracle осуществляется через настройку необходимых параметров в профиле. Профиль представляет собой набор ограничений на ресурсы базы данных и настроек параметров управления паролями. В базе данных можно создать множество профилей с различными настройками параметров. Затем профиль необходимо назначить пользователям, для которых профиль является наиболее подходящим.
Один из параметров управления паролями в профиле - PASSWORD_GRACE_TIME. Пользователи вступают в дополнительный период смены пароля при первой попытке доступа к учетной записи в базе данных после истечения срока действия пароля. В течение дополнительного периода предупреждающее сообщение появляется каждый раз при попытке доступа к учетной записи и продолжает демонстрироваться вплоть до завершения дополнительного периода. Пользователи обязаны сменить пароль в течение дополнительного периода. Если в течение этого периода смены пароля не происходит, при каждой попытке доступа к учетной записи пользователям демонстрируется приглашение задать новый пароль. Доступ к учетной записи оказывается заблокированным до предоставления нового пароля.
Дополнительный период смены пароля обеспечивает определенную гибкость в отношении такой учетной записи, срок действия пароля которой, возможно, только что истек, но у пользователя нет возможности немедленно сменить пароль.
Выбор значения UNLIMITED для данного параметра является худшим из возможных. Если учетной записи назначен профиль, параметр PASSWORD_GRACE_TIME которого настроен на UNLIMITED, такой учетной записи вообще не требуется менять пароль. В таком случае, частота смены паролей может оказаться недостаточной. Настройка параметра, например, на 3 предоставляет адекватный период, в течение которого пользователь может установить новый пароль.
Управление паролями в Oracle осуществляется через настройку необходимых параметров в профиле. Профиль представляет собой набор ограничений на ресурсы базы данных и настроек параметров управления паролями. В базе данных можно создать множество профилей с различными настройками параметров. Затем профиль необходимо назначить пользователям, для которых профиль является наиболее подходящим.
Один из параметров управления паролями в профиле - PASSWORD_GRACE_TIME. Пользователи вступают в дополнительный период смены пароля при первой попытке доступа к учетной записи в базе данных после истечения срока действия пароля. В течение дополнительного периода предупреждающее сообщение появляется каждый раз при попытке доступа к учетной записи и продолжает демонстрироваться вплоть до завершения дополнительного периода. Пользователи обязаны сменить пароль в течение дополнительного периода. Если в течение этого периода смены пароля не происходит, при каждой попытке доступа к учетной записи пользователям демонстрируется приглашение задать новый пароль. Доступ к учетной записи оказывается заблокированным до предоставления нового пароля.
Дополнительный период смены пароля обеспечивает определенную гибкость в отношении такой учетной записи, срок действия пароля которой, возможно, только что истек, но у пользователя нет возможности немедленно сменить пароль.
Выбор значения UNLIMITED для данного параметра является худшим из возможных. Если учетной записи назначен профиль, параметр PASSWORD_GRACE_TIME которого настроен на UNLIMITED, такой учетной записи вообще не требуется менять пароль. В таком случае, частота смены паролей может оказаться недостаточной. Настройка параметра, например, на 3 предоставляет адекватный период, в течение которого пользователь может установить новый пароль.
Как исправить
Количество дней в дополнительном периоде можно задать при создании профиля, используя выражение CREATE PROFILE, или позже, применив выражение ALTER PROFILE. Ниже приведен сценарий для смены значения:
ALTER PROFILE [имя профиля] LIMIT PASSWORD_GRACE_TIME 3;
После того, как профиль сформирован, его необходимо назначить пользователям. Ниже приведена соответствующая команда:
ALTER USER [имя пользователя] PROFILE [имя профиля];
По окончании дополнительного периода необходимо сменить пароль учетной записи. Для смены пароля используется следующая команда:
ALTER USER [имя пользователя] IDENTIFIED BY [новый пароль];
ALTER PROFILE [имя профиля] LIMIT PASSWORD_GRACE_TIME 3;
После того, как профиль сформирован, его необходимо назначить пользователям. Ниже приведена соответствующая команда:
ALTER USER [имя пользователя] PROFILE [имя профиля];
По окончании дополнительного периода необходимо сменить пароль учетной записи. Для смены пароля используется следующая команда:
ALTER USER [имя пользователя] IDENTIFIED BY [новый пароль];
