安全研究
安全漏洞
Oracle ADI 明文口令存储漏洞
发布日期:2001-05-12
更新日期:2001-05-12
受影响系统:
Oracle Application Desktop Integrator 7.1.1.10.1
- Microsoft Windows 98se
- Microsoft Windows NT 4.0
- Microsoft Windows 2000
描述:
BUGTRAQ ID: 2694
CVE(CAN) ID:
CVE-2001-0528
Oracle 的桌面应用集成器(ADI)是 Oracle 财务应用的一部分。这个软件包设计用来供桌面用户从个人计算机上操作数据库。
该软件包存有的一个问题造成可以获取明文口令。ADI 向数据库查询加密的口令,然后把这个加密的口令在本地解密,随后 ADI 用户就可以登录进数据库了。然而这个口令以明文存放在 dbg.txt文件中。这使得本地用户有可能获取口令,进而访问数据库。
<* 来源:Melanie Abbas (
abbas@uni.edu) *>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
暂无
建议:
临时解决办法:
NSFOCUS建议您在没有补丁或升级版本前如果非要要用这个软件不可,自己写一个程序对
dbg.txt 进行加密。
厂商补丁:
暂无
浏览次数:3762
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |