发布日期：2002-01-17
更新日期：2002-01-21

受影响系统：

Oracle Oracle8i 8.1.7.1
Oracle Oracle8i 8.1.7
Oracle Oracle8i 8.1.6
Oracle Oracle8i 8.1.5
Oracle Oracle8i 8.0.6
Oracle Oracle8i 8.0.5
Oracle Oracle8i 8.0.4
Oracle Oracle8i 8.0.2
Oracle Oracle8i 8.0.1

不受影响系统：

描述：

---

BUGTRAQ  ID: 3899

Oracle RDBMS服务器是一个全功能的关系数据库管理系统。Oracle RDBMS提供了一组对Oralce数据库的管理工具。Oralce有Unix，Linux和Windows等多种平台下的版本。

Oralce RDBMS在安装时会生成一些演示帐号，远程攻击者可能利用这些帐号得到对数据库系统的非法访问。

Oralce RDBMS安装时会以预设的口令生成一些演示帐号，帐号名一般是一些人名比如(SCOTT/TIGER)，如果攻击者知道这些帐号就能访问到数据库。另外，它会为“SYSTEM”和“SYS”用户设置缺省口令，分别是“manager”和“change_on_install”。

<*来源：Jonathan A. Zdziarski （jonathan@cafejesus.com）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2002-01/0226.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 删除那些默认帐号：

用“SELECT USERNAME FROM DBA_USERS;”sql命令找出数据库系统的用户，使用“DROP USER”命令删除那些看起来是人名的帐号。

厂商补丁：

Oracle
------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.oracle.com/



浏览次数：3576
严重程度：0（网友投票）