Брешь обнаружил Эстебан Мартинес Файо из компании Application Security. Знаменитый хакер Кевин Митник, у которого теперь своя компания Mitnick Security Consulting, подтвердил, что с использованием этой уязвимости можно получить доступ к данным в базе с возможностью их изменения.
Брешь связана с особенностями защиты ключей сеансов аутентификационным протоколом. При подключении клиента к серверу баз данных тот отправляет ключ сеанса с «солью». Поскольку это происходит еще до завершения процесса аутентификации, хакер может путем автоматического перебора найти подходящий к ключу сеанса хэш пароля.
Oracle устраила эту уязвимость аутентификационного протокола в его новой версии, 12. Старую же версию, 11.1, исправлять не планируется, утверждает Файо. Поэтому, по его мнению, в некоторых организациях уязвимость сохранится еще много лет, так как не везде могут позволить себе обновить сразу все клиенты и серверы Oracle.