Oracle明文密码漏洞

漏洞信息详情

Oracle明文密码漏洞

漏洞简介

Oracle Database是一款商业性质大型数据库系统。
Oracle 10g存在包含明文密码的全局可读文件,本地攻击者可以利用这个漏洞获得对数据库的访问。
SYSMAN帐户的密码可在\’\’$ORACLE_HOME/hostname_sid/sysman/config/emoms.properties\’\’文件中获得,此文件全局可读。
另外如果安装Oracle 10g时提供SYS, SYSTEM, DBSNMP和SYSMAN 帐户密码相同,并且密码有惊叹号(如f00bar!!),那么当设置SYSMAN和DBSNMP密码时DB安装会出现错误,错误信息\”postDBCreation.log\”会记录密码:
alter user SYSMAN identified by f00bar!! account unlock
ERROR at line 1:
ORA-00922: missing or invalid option
alter user DBSNMP identified by f00bar!! account unlock
ERROR at line 1:
ORA-00922: missing or invalid option

漏洞公告

厂商补丁:
Oracle
——
ORACLE已经发布patch (#68)来修正此漏洞:

http://metalink.oracle.com/” target=”_blank”>
http://metalink.oracle.com/

参考网址

来源:US-CERT Technical Alert: TA04-245A
名称: TA04-245A
链接:http://www.us-cert.gov/cas/techalerts/TA04-245A.html

来源:US-CERT Vulnerability Note: VU#316206
名称: VU#316206
链接:http://www.kb.cert.org/vuls/id/316206

来源: www.oracle.com
链接:http://www.oracle.com/technology/deploy/security/pdf/2004alert68.pdf

来源: www.ngssoftware.com
链接:http://www.ngssoftware.com/advisories/oracle23122004D.txt

来源: BUGTRAQ
名称: 20041223 Oracle clear text passwords (#NISR2122004D)
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=110382247308064&w=2

来源: SUNALERT
名称: 101782
链接:http://sunsolve.sun.com/search/document.do?assetkey=1-26-101782-1

© 版权声明
THE END
喜欢就支持一下吧
点赞0 分享