Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
Oracle Database
(Oracle Database)
Описание
Найден профиль, в котором значение параметра FAILED_LOGIN_ATTEMPTS не входит в диапазон значений, соответствующих требованиям безопасности.
Управление паролями в Oracle осуществляется через настройку необходимых параметров в профиле. Профиль представляет собой набор ограничений на ресурсы базы данных и настроек параметров управления паролями. В базе данных можно создать множество профилей с различными настройками параметров. Затем профиль необходимо назначить пользователям, для которых профиль является наиболее подходящим.
Один из параметров управления паролями в профиле - FAILED_LOGIN_ATTEMPTS. Параметр определяет число последовательных неудачных попыток входа, которые могут быть выполнены прежде, чем учетная запись будет заблокирована. После каждой неудачной попытки входа сумма неудачных попыток увеличивается на единицу до тех пор, пока не достигнет значения, установленного для параметра. После успешной попытки входа сумма неудачных попыток сбрасывается на 0.
Настройка данного параметра на корректное значение, например на 10, позволяет ограничить возможность злоумышленника запустить атаку подбора пароля учетной записи. Даже если пользователь выберет слабый пароль, который можно подобрать по словарю, вероятность того, что злоумышленник сможет подобрать пароль за первые 10 попыток очень мала.
Настройка этого параметра на UNLIMITED - худшая из возможных. Значение UNLIMITED позволяет злоумышленнику совершить неограниченное число попыток угадывания паролей всех учетных записей, назначенных определенному профилю. Настройка параметра на такое значение, как, например, 10, является корректной. Настройка слишком маленького значения может привести к блокировке учетных записей действительных пользователей в случае опечатки при вводе пароля.
Управление паролями в Oracle осуществляется через настройку необходимых параметров в профиле. Профиль представляет собой набор ограничений на ресурсы базы данных и настроек параметров управления паролями. В базе данных можно создать множество профилей с различными настройками параметров. Затем профиль необходимо назначить пользователям, для которых профиль является наиболее подходящим.
Один из параметров управления паролями в профиле - FAILED_LOGIN_ATTEMPTS. Параметр определяет число последовательных неудачных попыток входа, которые могут быть выполнены прежде, чем учетная запись будет заблокирована. После каждой неудачной попытки входа сумма неудачных попыток увеличивается на единицу до тех пор, пока не достигнет значения, установленного для параметра. После успешной попытки входа сумма неудачных попыток сбрасывается на 0.
Настройка данного параметра на корректное значение, например на 10, позволяет ограничить возможность злоумышленника запустить атаку подбора пароля учетной записи. Даже если пользователь выберет слабый пароль, который можно подобрать по словарю, вероятность того, что злоумышленник сможет подобрать пароль за первые 10 попыток очень мала.
Настройка этого параметра на UNLIMITED - худшая из возможных. Значение UNLIMITED позволяет злоумышленнику совершить неограниченное число попыток угадывания паролей всех учетных записей, назначенных определенному профилю. Настройка параметра на такое значение, как, например, 10, является корректной. Настройка слишком маленького значения может привести к блокировке учетных записей действительных пользователей в случае опечатки при вводе пароля.
Как исправить
Допустимое число неудачных попыток входа может быть определено при создании профиля с использованием выражения CREATE PROFILE, или позже, применив выражение ALTER PROFILE. Ниже приведен синтаксис смены значения:
ALTER PROFILE [имя профиля] LIMIT FAILED_LOGIN_ATTEMPTS 10;
После того, как профиль сформирован, его необходимо назначить пользователям. Ниже приведена соответствующая команда:
ALTER USER [имя пользователя] PROFILE [имя профиля];
Если учетная запись была заблокирована, разблокировать ее может пользователь, обладающий привилегией ALTER ANY USER, используя следующую команду:
ALTER USER [имя пользователя] ACCOUNT UNLOCK;
ALTER PROFILE [имя профиля] LIMIT FAILED_LOGIN_ATTEMPTS 10;
После того, как профиль сформирован, его необходимо назначить пользователям. Ниже приведена соответствующая команда:
ALTER USER [имя пользователя] PROFILE [имя профиля];
Если учетная запись была заблокирована, разблокировать ее может пользователь, обладающий привилегией ALTER ANY USER, используя следующую команду:
ALTER USER [имя пользователя] ACCOUNT UNLOCK;
Ссылки
Oracle 10 :
FAILED_LOGIN_ATTEMPTS :
http://docs.oracle.com/cd/B19306_01/server.102/b14200/statements_6010.htm#sthref7192
Oracle 11 :
FAILED_LOGIN_ATTEMPTS :
http://docs.oracle.com/cd/B28359_01/server.111/b28286/statements_6010.htm#SQLRF54206
FAILED_LOGIN_ATTEMPTS :
http://docs.oracle.com/cd/B19306_01/server.102/b14200/statements_6010.htm#sthref7192
Oracle 11 :
FAILED_LOGIN_ATTEMPTS :
http://docs.oracle.com/cd/B28359_01/server.111/b28286/statements_6010.htm#SQLRF54206