漏洞信息详情
Oracle明文密码漏洞
- CNNVD编号:CNNVD-200408-012
- 危害等级: 中危
- CVE编号:
CVE-2004-1367
- 漏洞类型:
信息泄露
- 发布时间:
2004-08-04
- 威胁类型:
本地
- 更新时间:
2006-08-30
- 厂 商:
oracle - 漏洞来源:
David Litchfield※ … -
漏洞简介
Oracle Database是一款商业性质大型数据库系统。
Oracle 10g存在包含明文密码的全局可读文件,本地攻击者可以利用这个漏洞获得对数据库的访问。
SYSMAN帐户的密码可在\’\’$ORACLE_HOME/hostname_sid/sysman/config/emoms.properties\’\’文件中获得,此文件全局可读。
另外如果安装Oracle 10g时提供SYS, SYSTEM, DBSNMP和SYSMAN 帐户密码相同,并且密码有惊叹号(如f00bar!!),那么当设置SYSMAN和DBSNMP密码时DB安装会出现错误,错误信息\”postDBCreation.log\”会记录密码:
alter user SYSMAN identified by f00bar!! account unlock
ERROR at line 1:
ORA-00922: missing or invalid option
alter user DBSNMP identified by f00bar!! account unlock
ERROR at line 1:
ORA-00922: missing or invalid option
漏洞公告
厂商补丁:
Oracle
——
ORACLE已经发布patch (#68)来修正此漏洞:
http://metalink.oracle.com/” target=”_blank”>
http://metalink.oracle.com/
参考网址
来源:US-CERT Technical Alert: TA04-245A
名称: TA04-245A
链接:http://www.us-cert.gov/cas/techalerts/TA04-245A.html
来源:US-CERT Vulnerability Note: VU#316206
名称: VU#316206
链接:http://www.kb.cert.org/vuls/id/316206
来源: www.oracle.com
链接:http://www.oracle.com/technology/deploy/security/pdf/2004alert68.pdf
来源: www.ngssoftware.com
链接:http://www.ngssoftware.com/advisories/oracle23122004D.txt
来源: BUGTRAQ
名称: 20041223 Oracle clear text passwords (#NISR2122004D)
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=110382247308064&w=2
来源: SUNALERT
名称: 101782
链接:http://sunsolve.sun.com/search/document.do?assetkey=1-26-101782-1