Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
Oracle Database
(Oracle Database)
Описание
Найден профиль с отключенным параметром PASSWORD_VERIFY_FUNCTION.
Управление паролями в Oracle осуществляется через настройку необходимых параметров в профиле. Профиль представляет собой набор ограничений на ресурсы базы данных и настроек параметров управления паролями. В базе данных можно создать множество профилей с различными настройками параметров. Затем профиль необходимо назначить пользователям, для которых профиль является наиболее подходящим.
Один из параметров управления паролями в профиле - PASSWORD_VERIFY_FUNCTION. Данный параметр позволяет назначить функцию, которая будет проверять пароли на соответствие установленным критериям. Эти критерии могут включать такие требования, как соответствие определенной минимальной длине пароля или содержание символов, отличных от букв алфавита. Стандартная функция проверки доступна в файле ORACLE_HOME/rdbms/admin/utlpwmg.sql. Применение параметра PASSWORD_VERIFY_FUNCTION обеспечивает надежность используемых паролей.
Если параметр PASSWORD_VERIFY_FUNCTION настроен на NULL, проверка паролей не проводится.
Управление паролями в Oracle осуществляется через настройку необходимых параметров в профиле. Профиль представляет собой набор ограничений на ресурсы базы данных и настроек параметров управления паролями. В базе данных можно создать множество профилей с различными настройками параметров. Затем профиль необходимо назначить пользователям, для которых профиль является наиболее подходящим.
Один из параметров управления паролями в профиле - PASSWORD_VERIFY_FUNCTION. Данный параметр позволяет назначить функцию, которая будет проверять пароли на соответствие установленным критериям. Эти критерии могут включать такие требования, как соответствие определенной минимальной длине пароля или содержание символов, отличных от букв алфавита. Стандартная функция проверки доступна в файле ORACLE_HOME/rdbms/admin/utlpwmg.sql. Применение параметра PASSWORD_VERIFY_FUNCTION обеспечивает надежность используемых паролей.
Если параметр PASSWORD_VERIFY_FUNCTION настроен на NULL, проверка паролей не проводится.
Как исправить
Функцию, которая будет использоваться для проверки надежности пароля, можно установить при создании профиля, используя выражение CREATE PROFILE, или позже, применив выражение ALTER PROFILE. Ниже приведен сценарий для смены значения:
ALTER PROFILE [имя профиля] LIMIT PASSWORD_VERIFY_FUNCTION [функция проверки];
После того, как профиль сформирован, его необходимо назначить пользователям. Ниже приведена соответствующая команда:
ALTER USER [имя пользователя] PROFILE [имя профиля];
ALTER PROFILE [имя профиля] LIMIT PASSWORD_VERIFY_FUNCTION [функция проверки];
После того, как профиль сформирован, его необходимо назначить пользователям. Ниже приведена соответствующая команда:
ALTER USER [имя пользователя] PROFILE [имя профиля];
Ссылки
Oracle 10 :
PASSWORD_VERIFY_FUNCTION :
http://docs.oracle.com/cd/B19306_01/server.102/b14200/statements_6010.htm#sthref7203
Oracle 11 :
PASSWORD_VERIFY_FUNCTION :
http://docs.oracle.com/cd/B28359_01/server.111/b28286/statements_6010.htm#SQLRF54211
PASSWORD_VERIFY_FUNCTION :
http://docs.oracle.com/cd/B19306_01/server.102/b14200/statements_6010.htm#sthref7203
Oracle 11 :
PASSWORD_VERIFY_FUNCTION :
http://docs.oracle.com/cd/B28359_01/server.111/b28286/statements_6010.htm#SQLRF54211