Oracle catalog创建默认用户/口令漏洞

漏洞信息详情

Oracle catalog创建默认用户/口令漏洞

• CNNVD编号：CNNVD-200209-007
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2002-0858
  
• 漏洞类型：
  
  
  未知
  
• 发布时间：
  
  2002-08-12
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  oracle
• 漏洞来源：
  Gilles Parc※ gille…

Oracle是Oracle公司开发的一款大型商业数据库系统。
Oracle的catsnmp catalog脚本在建立用户时使用默认口令，攻击者可以利用这个口令获取对数据库的未授权访问。
Oracle 8i/9i包含catsnmp catalog脚本($ORACLE_HOME/rdbms/admin)可以用于删除和重建dbsnmp用户，并使用默认的\”dbsnmp\”密码。此用户在Oracle 8i系统中的权限属于V_$ views组，而在Oracle 9i系统中此用户被授予\”SELECT ANY DICTIONARY\”权限，这个权限能查看任意sys对象如link$(它里面存储了未加密的口令)。
虽然管理员可以手工更改密码，但是当安装补丁集和独立补丁时都有可能需要catproc.sql(它自动调用catsnmp)而导致密码恢复为默认状态。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 修改dbsnmp用户的口令，或者禁用dbsnmp用户。
厂商补丁：
Oracle
——
目前厂商还没有提供补丁或者升级程序，但已为此漏洞分配了一个编号：bug #2432163。

您可以访问oracle的支持站点获取更多细节：

http://metalink.oracle.com” target=”_blank”>
http://metalink.oracle.com

来源: OSVDB
名称: 9476
链接:http://www.osvdb.org/9476

来源: XF
名称: oracle-catsnmp-default-account(9932)
链接:http://www.iss.net/security_center/static/9932.php

来源: BUGTRAQ
名称: 20020812 Vulnerability in Oracle
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=102918005402808&w=2