发布日期：2001-05-12
更新日期：2001-05-12

受影响系统：

Oracle Application Desktop Integrator 7.1.1.10.1
   - Microsoft Windows 98se
   - Microsoft Windows NT 4.0
   - Microsoft Windows 2000

描述：

---

BUGTRAQ  ID: 2694
CVE(CAN) ID: CVE-2001-0528

Oracle 的桌面应用集成器(ADI)是 Oracle 财务应用的一部分。这个软件包设计用来供桌面用户从个人计算机上操作数据库。

该软件包存有的一个问题造成可以获取明文口令。ADI 向数据库查询加密的口令，然后把这个加密的口令在本地解密，随后 ADI 用户就可以登录进数据库了。然而这个口令以明文存放在 dbg.txt文件中。这使得本地用户有可能获取口令，进而访问数据库。

<* 来源：Melanie Abbas (abbas@uni.edu) *>


测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

  暂无


建议：

---

临时解决办法：

  NSFOCUS建议您在没有补丁或升级版本前如果非要要用这个软件不可，自己写一个程序对
  dbg.txt 进行加密。

厂商补丁：

  暂无




浏览次数：3762
严重程度：0（网友投票）