Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
Oracle Database
(Oracle Database)
Описание
Найден профиль, в котором значение параметра PASSWORD_REUSE_MAX выходит за нижнюю границу диапазона значений, соответствующих требованиям безопасности.
Управление паролями в Oracle осуществляется через настройку необходимых параметров в профиле. Профиль представляет собой набор ограничений на ресурсы базы данных и настроек параметров управления паролями. В базе данных можно создать множество профилей с различными настройками параметров. Затем профиль необходимо назначить пользователям, для которых профиль является наиболее подходящим.
Параметр PASSWORD_REUSE_TIME определяет количество дней, которое должно пройти, прежде чем пароль можно будет использовать повторно, а PASSWORD_REUSE_MAX определяет минимальное количество смен пароля, которые должны произойти, прежде чем пользователь сможет повторно использовать пароль. Эти параметры совместно предотвращают циклическое использование старых паролей и потерю преимущества, которое появляется в результате частой смены пароля. Для того, чтобы смена пароля произошла, необходимо соответствие ограничениям, которые налагают оба параметра.
Если один из параметров настроен на UNLIMITED, это означает, что повторное использование пароля невозможно.
Если оба параметра настроены на UNLIMITED, ни один из них не будет оказывать какого-либо воздействия, т.е. возможно повторное использование пароля непосредственно после требования сменить текущий пароль.
Если ни один их этих параметров не настроен на UNLIMITED, то для повторного использования пароля необходимо соответствие условиям обоих параметров. Например, если параметр PASSWORD_LIMIT_TIME настроен на 4 дня, а PASSWORD_REUSE_MAX - на 7, тогда пароль можно будет использовать повторно только в том случае, если со времени истечения срока его действия пройдет 4 дня и пароль за это время поменяется как минимум 7 раз.
Рекомендуется установить для PASSWORD_REUSE_MAX максимальное значение из возможных. Если требуется запретить повторное использование паролей, то либо PASSWORD_REUSE_TIME, либо PASSWORD_REUSE_MAX должен быть настроен на UNLIMITED, но не оба. Проверка отмечает все профили, в которых:
1. значение PASSWORD_REUSE_TIME меньше установленного для данного пользователя;
2. оба параметра настроены на UNLIMITED.
Проверка не отмечает профили, в которых:
1. только один из указанных параметров настроен на UNLIMITED;
2. значение PASSWORD_REUSE_TIME больше значения, установленного для данного пользователя, или соответствует ему.
Предпочтительнее использовать PASSWORD_REUSE_TIME вместо PASSWORD_REUSE_MAX, поскольку настойчивый пользователь может обойти последний параметр. Пользователь, который не хочет менять пароль, может обойти PASSWORD_REUSE_MAX, изменяя пароль на произвольные значения столько раз, сколько требуется согласно настройкам данного параметра, и затем восстановить исходное значение пароля. Обойти таким образом параметр PASSWORD_REUSE_TIME не удастся.
Управление паролями в Oracle осуществляется через настройку необходимых параметров в профиле. Профиль представляет собой набор ограничений на ресурсы базы данных и настроек параметров управления паролями. В базе данных можно создать множество профилей с различными настройками параметров. Затем профиль необходимо назначить пользователям, для которых профиль является наиболее подходящим.
Параметр PASSWORD_REUSE_TIME определяет количество дней, которое должно пройти, прежде чем пароль можно будет использовать повторно, а PASSWORD_REUSE_MAX определяет минимальное количество смен пароля, которые должны произойти, прежде чем пользователь сможет повторно использовать пароль. Эти параметры совместно предотвращают циклическое использование старых паролей и потерю преимущества, которое появляется в результате частой смены пароля. Для того, чтобы смена пароля произошла, необходимо соответствие ограничениям, которые налагают оба параметра.
Если один из параметров настроен на UNLIMITED, это означает, что повторное использование пароля невозможно.
Если оба параметра настроены на UNLIMITED, ни один из них не будет оказывать какого-либо воздействия, т.е. возможно повторное использование пароля непосредственно после требования сменить текущий пароль.
Если ни один их этих параметров не настроен на UNLIMITED, то для повторного использования пароля необходимо соответствие условиям обоих параметров. Например, если параметр PASSWORD_LIMIT_TIME настроен на 4 дня, а PASSWORD_REUSE_MAX - на 7, тогда пароль можно будет использовать повторно только в том случае, если со времени истечения срока его действия пройдет 4 дня и пароль за это время поменяется как минимум 7 раз.
Рекомендуется установить для PASSWORD_REUSE_MAX максимальное значение из возможных. Если требуется запретить повторное использование паролей, то либо PASSWORD_REUSE_TIME, либо PASSWORD_REUSE_MAX должен быть настроен на UNLIMITED, но не оба. Проверка отмечает все профили, в которых:
1. значение PASSWORD_REUSE_TIME меньше установленного для данного пользователя;
2. оба параметра настроены на UNLIMITED.
Проверка не отмечает профили, в которых:
1. только один из указанных параметров настроен на UNLIMITED;
2. значение PASSWORD_REUSE_TIME больше значения, установленного для данного пользователя, или соответствует ему.
Предпочтительнее использовать PASSWORD_REUSE_TIME вместо PASSWORD_REUSE_MAX, поскольку настойчивый пользователь может обойти последний параметр. Пользователь, который не хочет менять пароль, может обойти PASSWORD_REUSE_MAX, изменяя пароль на произвольные значения столько раз, сколько требуется согласно настройкам данного параметра, и затем восстановить исходное значение пароля. Обойти таким образом параметр PASSWORD_REUSE_TIME не удастся.
Как исправить
Необходимое количество смен пароля перед тем, как станет возможным его повторное использование, можно установить при создании профиля, используя выражение CREATE PROFILE, или позже, применив выражение ALTER PROFILE. Ниже приведен сценарий для смены значения:
ALTER PROFILE [имя профиля] LIMIT PASSWORD_REUSE_MAX 10;
После того, как профиль сформирован, его необходимо назначить пользователям. Ниже приведена соответствующая команда:
ALTER USER [имя пользователя] PROFILE [имя профиля];
ALTER PROFILE [имя профиля] LIMIT PASSWORD_REUSE_MAX 10;
После того, как профиль сформирован, его необходимо назначить пользователям. Ниже приведена соответствующая команда:
ALTER USER [имя пользователя] PROFILE [имя профиля];
Ссылки
Oracle 10 :
PASSWORD_REUSE_MAX :
http://docs.oracle.com/cd/B19306_01/server.102/b14200/statements_6010.htm#sthref7196
Orcle 11 :
PASSWORD_REUSE_MAX :
http://docs.oracle.com/cd/B28359_01/server.111/b28286/statements_6010.htm#SQLRF54208
PASSWORD_REUSE_MAX :
http://docs.oracle.com/cd/B19306_01/server.102/b14200/statements_6010.htm#sthref7196
Orcle 11 :
PASSWORD_REUSE_MAX :
http://docs.oracle.com/cd/B28359_01/server.111/b28286/statements_6010.htm#SQLRF54208