Er is een lek opnieuw ontdekt (was eerder al gepatched) in Oracle 11g release 1 en 2, welke een sessie en een salt van een gebruiker doorgeeft.
Hierdoor kun je met een gewone computer al op een 5-tal uur het wachtwoord van een gebruiker kraken.
Deze bug is gevaarlijk, aangezien hij eenvoudig uit te voeren is en niet te traceren.
Bovendien lekt het je salt, wat sowieso al not done is.
Gelukkig gebruikt Oracle, net zoals ICTs een unieke salt per gebruiker.
Met 1 salt heb je nog niet toegang tot alle accounts.
Volgens de ontdekker kun je dit oplossen door je Oracle juist te configureren.
Welke parameter je moet aanpassen in je config zegt hij er spijtig genoeg niet bij.
Indien jullie dit kunnen vinden, laat het zeker weten in een reactie.
Bron: threatpost.com
