【 ここから本文 】
- TOP
- > Topics : データベース
- >
データベース
ソーシャルブックマークに登録 :
印刷用ページの表示
[米国]
オラクルのパスワード保護機能に脆弱性──研究者が指摘
(2005年10月31日)
セキュリティ研究者2人が最近発表した論文で、クラッカーによってパスワードの不正な復元に利用されるおそれのある脆弱性が、米国オラクルのデータベース・ソフトウェアに存在すると指摘した。
SANSインスティチュートのジョシュア・ライト氏と、ロンドン大学ロイヤル・ハロウェイ・カレッジ、情報セキュリティ・グループのカルロス・シッド氏によるこの論文では、あるクラッキング・テクニックを駆使して4分余りの時間でパスワードを手にできたようすを紹介している。SANSによると、オラクルにはこの脆問題を今年7月に通知済みだが、まだ対処は行われていないという。
この件について、10月28日の時点でオラクル幹部のコメントは得られていない。
パスワードは通常、ハッシュ法(hashing)と呼ばれる単方向アルゴリズムを使って数値に変換することによって保護される。論文によると、その数値は、それらの値のパスワード表と比較対照される。その数値には、ソルト(salt)と呼ばれる別のランダム値が加算される。
両氏の論文では、オラクル・データベースではパスワード・ソルトの選択機能が弱く、ハッシュ法も弱いと指摘している。また、このオラクルのパスワード・ハッシュ法メカニズムは、ユーザーのパスワード全部大文字に変換してからパスワード・ハッシュに変換するようになっているため、可能性のあるパスワードの文字の組み合わせの数が減ってしまうことも、弱点になるという。
パスワード・ハッシュを捕捉するために、クラッカーは、暗号化されていないネットワーク・トラフィックを傍受したり、Webアドレスを通して送られた悪意のあるSQLコマンドの実行を不用意に実行してしまうWebアプリケーションの弱点を利用したりする可能性がある。また、データベースのOSにローカル・アクセスできる場合には、UNIXのstringsユーティリティを使ってパスワード・ハッシュやユーザー名の格納場所を特定することもできるという。
1つまたは複数のユーザー名とパスワード・ハッシュを復元できた後は、そのハッシュ法アルゴリズムの詳細を利用して、その他のユーザー・パスワードも復元できるようになる。
この論文では、パスワード・ハッシュを保護するためには、パスワードの長さを最低12文字以上とし、60日で有効期限が切れるようにするのに加え、ユーザーのパスワード選択に対する検査を行なって弱いパスワードを見つけるよう勧めている。さらに、ネットワーク・トラフィックを暗号化することと、Webアプリケーションとパスワード・ハッシュへのデータベース・ユーザーのアクセスを制限することを勧めている。
(Originally reported by Jeremy Kirk, IDG News Service 10/28/2005)
(IDG News Service)
