漏洞信息详情
Oracle明文密码漏洞
- CNNVD编号:CNNVD-200408-005
- 危害等级: 低危
- CVE编号: CVE-2004-1366
- 漏洞类型: 信任管理
- 发布时间: 2004-08-04
- 威胁类型: 本地
- 更新时间: 2006-08-30
- 厂 商: oracle
- 漏洞来源: David Litchfield※ ...
漏洞简介
Oracle Database是一款商业性质大型数据库系统。 Oracle 10g存在包含明文密码的全局可读文件,本地攻击者可以利用这个漏洞获得对数据库的访问。 SYSMAN帐户的密码可在\'\'$ORACLE_HOME/hostname_sid/sysman/config/emoms.properties\'\'文件中获得,此文件全局可读。 另外如果安装Oracle 10g时提供SYS, SYSTEM, DBSNMP和SYSMAN 帐户密码相同,并且密码有惊叹号(如f00bar!!),那么当设置SYSMAN和DBSNMP密码时DB安装会出现错误,错误信息\"postDBCreation.log\"会记录密码: alter user SYSMAN identified by f00bar!! account unlock ERROR at line 1: ORA-00922: missing or invalid option alter user DBSNMP identified by f00bar!! account unlock ERROR at line 1: ORA-00922: missing or invalid option
漏洞公告
厂商补丁: Oracle ------ ORACLE已经发布patch (#68)来修正此漏洞:
http://metalink.oracle.com/
参考网址
来源:US-CERT Technical Alert: TA04-245A 名称: TA04-245A 链接:http://www.us-cert.gov/cas/techalerts/TA04-245A.HTML 来源:US-CERT Vulnerability Note: VU#316206 名称: VU#316206 链接:http://www.kb.cert.org/vuls/id/316206 来源: XF 名称: oracle-sysman-password-plaintext(18661) 链接:http://xforce.iss.net/xforce/xfdb/18661 来源: BID 名称: 10871 链接:http://www.securityfocus.com/bid/10871 来源: BUGTRAQ 名称: 20041223 Oracle clear text passwords (#NISR2122004D) 链接:http://www.securityfocus.com/archive/1/385323 来源: www.oracle.com 链接:http://www.oracle.com/technology/deploy/security/pdf/2004alert68.pdf 来源: www.ngssoftware.com 链接:http://www.ngssoftware.com/advisories/oracle23122004D.txt 来源: SUNALERT 名称: 101782 链接:http://sunsolve.sun.com/search/document.do?assetkey=1-26-101782-1
受影响实体
- Oracle Oracle9i:Personal_9.0.1.4
- Oracle Oracle9i:Personal_9.0.1
- Oracle Oracle9i:Enterprise_9.2.0.5
- Oracle Oracle9i:Personal_8.1.7
- Oracle Oracle9i:Enterprise_9.2.0.4
补丁
暂无
评论