Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
Oracle Database
(Oracle Database)
Описание
Найден профиль, в котором значение параметра PASSWORD_LIFE_TIME не входит в диапазон значений, соответствующих требованиям безопасности.
Управление паролями в Oracle осуществляется через настройку необходимых параметров в профиле. Профиль представляет собой набор ограничений на ресурсы базы данных и настроек параметров управления паролями. В базе данных можно создать множество профилей с различными настройками параметров. Затем профиль необходимо назначить пользователям, для которых профиль является наиболее подходящим.
Один из параметров управления паролями в профиле - PASSWORD_LIFE_TIME. Этот параметр определяет максимальное время действия пароля. Регулярная смена паролей - общепринятая практика по обеспечению безопасности, направленная на смягчение угрозы компрометации пароля. Если смена паролей проводится нерегулярно, скомпрометированный пароль может оставаться в использовании длительный период времени. Смена паролей препятствует возможности дальнейшего использования пароля злоумышленником, который мог скомпрометировать пароль и использовать доступ к базе данных. Следует обратить внимание, что истечение срока действия паролей не исключает возможности компрометации пароля в будущем (например, в случае если злоумышленник после получения первоначального доступа смог установить специально сформированную программу с целью повторного получения доступа к системе).
Значение UNLIMITED для данного параметра является наименее безопасным. Если учетной записи назначен профиль, параметр PASSWORD_LIFE_TIME которого настроен на UNLIMITED, смена пароля для такой учетной записи не требуется. В таком случае, частота смены паролей может оказаться недостаточной. Настройка этого параметра, например, на 90 обеспечивает приемлемую частоту смены паролей, при этом не докучая пользователям излишне частыми требованиями выбора новых паролей.
Управление паролями в Oracle осуществляется через настройку необходимых параметров в профиле. Профиль представляет собой набор ограничений на ресурсы базы данных и настроек параметров управления паролями. В базе данных можно создать множество профилей с различными настройками параметров. Затем профиль необходимо назначить пользователям, для которых профиль является наиболее подходящим.
Один из параметров управления паролями в профиле - PASSWORD_LIFE_TIME. Этот параметр определяет максимальное время действия пароля. Регулярная смена паролей - общепринятая практика по обеспечению безопасности, направленная на смягчение угрозы компрометации пароля. Если смена паролей проводится нерегулярно, скомпрометированный пароль может оставаться в использовании длительный период времени. Смена паролей препятствует возможности дальнейшего использования пароля злоумышленником, который мог скомпрометировать пароль и использовать доступ к базе данных. Следует обратить внимание, что истечение срока действия паролей не исключает возможности компрометации пароля в будущем (например, в случае если злоумышленник после получения первоначального доступа смог установить специально сформированную программу с целью повторного получения доступа к системе).
Значение UNLIMITED для данного параметра является наименее безопасным. Если учетной записи назначен профиль, параметр PASSWORD_LIFE_TIME которого настроен на UNLIMITED, смена пароля для такой учетной записи не требуется. В таком случае, частота смены паролей может оказаться недостаточной. Настройка этого параметра, например, на 90 обеспечивает приемлемую частоту смены паролей, при этом не докучая пользователям излишне частыми требованиями выбора новых паролей.
Как исправить
Количество дней для времени действия пароля можно установить при создании профиля, используя выражение CREATE PROFILE, или позже, применив выражение ALTER PROFILE. Ниже приведен сценарий для смены значения:
ALTER PROFILE [имя профиля] LIMIT PASSWORD_LIFE_TIME 90;
После того, как профиль сформирован, его необходимо назначить пользователям. Ниже приведена соответствующая команда:
ALTER USER [имя пользователя] PROFILE [имя профиля];
После истечения срока действия пароля необходимо сменить пароль учетной записи, используя следующую команду:
ALTER USER [имя пользователя] IDENTIFIED BY [новый пароль];
ALTER PROFILE [имя профиля] LIMIT PASSWORD_LIFE_TIME 90;
После того, как профиль сформирован, его необходимо назначить пользователям. Ниже приведена соответствующая команда:
ALTER USER [имя пользователя] PROFILE [имя профиля];
После истечения срока действия пароля необходимо сменить пароль учетной записи, используя следующую команду:
ALTER USER [имя пользователя] IDENTIFIED BY [новый пароль];
Ссылки
Oracle 10 :
PASSWORD_LIFE_TIME :
http://docs.oracle.com/cd/B19306_01/server.102/b14200/statements_6010.htm#sthref7194
Oracle 11 :
PASSWORD_LIFE_TIME :
http://docs.oracle.com/cd/B28359_01/server.111/b28286/statements_6010.htm#SQLRF54207
PASSWORD_LIFE_TIME :
http://docs.oracle.com/cd/B19306_01/server.102/b14200/statements_6010.htm#sthref7194
Oracle 11 :
PASSWORD_LIFE_TIME :
http://docs.oracle.com/cd/B28359_01/server.111/b28286/statements_6010.htm#SQLRF54207
