Alerte de sécurité sur les bases de données Oracle 11g

Une alerte a été lancée par un expert en sécurité travaillant pour AppSec Inc. (Société spécialisée dans la sécurisation des bases de données) concernant une faille de sécurité sur la version 11g 1 & 2 d’Oracle Database.

Cette faille a un impact sur l’authentification des mots de passe et permet, à un « informaticien chevronné » ayant récupéré un identifiant et le nom de la base de données, de trouver le mot de passe associé via une attaque par force brute.

Pour comprendre cette faille et y remédier, vous trouverez ci-joint quelques articles explicatifs :

En français :
Les bases de données Oracle simples à hacker
Ou en Anglais :
http://e-university.wisdomjobs.com/oracle-11g/chapter-336-282/database-security.html
http://www.commitdba.com/blog2/dbaspeak/are-your-oracle-11g-databases-secure.html

Les articles ci dessus permettent de revoir la configuration de vos bases Oracle et  d’activer certains paramètres au démarrage de la base de données (entre autre le « FAILED_LOGIN_ATTEMPTS » et le « SEC_CASE_ SENTITIVE_LOGON »). Ou de restreindre les connexions  (plage d’adresses IP exclue ou autorisée…)