Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
Oracle Database
(Oracle Database)
Описание
Найден профиль, в котором значение параметра PASSWORD_LOCK_TIME выходит за нижнюю границу диапазона значений, соответствующих требованиям безопасности.
Управление паролями в Oracle осуществляется через настройку необходимых параметров в профиле. Профиль представляет собой набор ограничений на ресурсы базы данных и настроек параметров управления паролями. В базе данных можно создать множество профилей с различными настройками параметров. Затем профиль необходимо назначить пользователям, для которых профиль является наиболее подходящим.
Один из параметров управления паролями в профиле - PASSWORD_LOCK_TIME. Параметр устанавливает число дней, в течение которых учетная запись остается заблокированной после блокировки, вызванной превышением значения FAILED_LOGIN_ATTEMPTS.
Настройка этого параметра на UNLIMITED является наиболее безопасной. Если учетной записи предоставлен профиль, параметр PASSWORD_LOCK_TIME которого настроен на UNLIMITED, автоматическая разблокировка данной учетной записи никогда не произойдет. Это означает, что учетную запись может разблокировать только пользователь с системной привилегией ALTER ANY USER. Если для параметра PASSWORD_LOCK_TIME выбрано слишком маленькое значение, доступ для злоумышленника будет заблокирован, но лишь до момента автоматической разблокировки учетной записи, что позволит злоумышленнику возобновить атаку.
Управление паролями в Oracle осуществляется через настройку необходимых параметров в профиле. Профиль представляет собой набор ограничений на ресурсы базы данных и настроек параметров управления паролями. В базе данных можно создать множество профилей с различными настройками параметров. Затем профиль необходимо назначить пользователям, для которых профиль является наиболее подходящим.
Один из параметров управления паролями в профиле - PASSWORD_LOCK_TIME. Параметр устанавливает число дней, в течение которых учетная запись остается заблокированной после блокировки, вызванной превышением значения FAILED_LOGIN_ATTEMPTS.
Настройка этого параметра на UNLIMITED является наиболее безопасной. Если учетной записи предоставлен профиль, параметр PASSWORD_LOCK_TIME которого настроен на UNLIMITED, автоматическая разблокировка данной учетной записи никогда не произойдет. Это означает, что учетную запись может разблокировать только пользователь с системной привилегией ALTER ANY USER. Если для параметра PASSWORD_LOCK_TIME выбрано слишком маленькое значение, доступ для злоумышленника будет заблокирован, но лишь до момента автоматической разблокировки учетной записи, что позволит злоумышленнику возобновить атаку.
Как исправить
Количество дней, в течение которых пароль будет заблокирован, можно установить при создании профиля, используя выражение CREATE PROFILE, или позже, применив выражение ALTER PROFILE. Ниже приведен сценарий для смены значения:
ALTER PROFILE [имя профиля] LIMIT PASSWORD_LOCK_TIME 1;
После того, как профиль сформирован, его необходимо назначить пользователям. Ниже приведена соответствующая команда:
ALTER USER [имя пользователя] PROFILE [имя профиля];
Если учетная запись оказалась заблокированной, разблокировать ее можно от имени пользователя с системной привилегией ALTER ANY USER, используя следующую команду:
ALTER USER [имя пользователя] ACCOUNT UNLOCK;
ALTER PROFILE [имя профиля] LIMIT PASSWORD_LOCK_TIME 1;
После того, как профиль сформирован, его необходимо назначить пользователям. Ниже приведена соответствующая команда:
ALTER USER [имя пользователя] PROFILE [имя профиля];
Если учетная запись оказалась заблокированной, разблокировать ее можно от имени пользователя с системной привилегией ALTER ANY USER, используя следующую команду:
ALTER USER [имя пользователя] ACCOUNT UNLOCK;