Oracles Single Sign-on erleichtert Ausspähen von Anmeldedaten
Oracles Sample-Skripte für deren Single Sign-on Applikation OSSO lassen sich von Angreifern zum Ausspähen von Anmeldedaten missbrauchen.
Oracles Single Sign-on Applikation OSSO lässt sich unter bestimmten Umständen von Angreifern zum Ausspähen von Anmeldedaten missbrauchen. OSSO basiert auf Web-Login-Formularen, das Anwender über eine URL aufrufen können.
Ein von Oracle empfohlenes Beispiel-Login-Skript ("Oracle 9iAS Single Sign-on Administrators Guide, Release 2(9.0.2)") bietet aber die Möglichkeit, weitere Parameter an diese URL zu hängen ("p_submit_url"), um Anwender an andere Server umzuleiten. Der Nutzer merkt davon nichts: Es erscheint ihm, als wäre er regulär mit dem OSSO-Server verbunden, sogar ein gültiges Zertifikat wird übermittelt. Allerdings sendet er nun Benutzername und Passwort an den Server des Angreifers. Vorher muss der Angreifer den Anwender aber dazu verleiten, eine entsprechend manipulierte URL anzuklicken -- die zunächst auch zum richtigen Server führt. Nach Angaben der Entdecker der Lücke empfiehlt Oracle einen Workaround zur Beseitung. Nähere Angaben dazu sind dem Original-Advisory zu entnehmen.
Siehe dazu auch: (dab)
- Security Advisory von madison-gurkha
