Oracle9iAS Web Cache管理接口明文密码漏洞
发布日期:2002-08-08
更新日期:2003-04-28
受影响系统:Oracle Oracle9i 9.0.2
描述:
BUGTRAQ ID:
7395
Oracle9iAS Web Cache是一款Oracle 9iAS应用服务程序的WEB缓冲解决方案,提供快速显示动态WEB内容。
Oracle9iAS Web Cache的管理接口不正确加密敏感验证信息,远程攻击者可以利用这个漏洞嗅探网络获得明文密码信息。
由Oracle9iAS Web Cache的管理接口需要的密码默认情况下没有加密,攻击者可以通过嗅探管理接口程序所在网络,有可能截获管理员密码,利用这个密码可以对系统进一步进行攻击。
<*来源:Oracle security alert
链接:
http://otn.oracle.com/deploy/security/pdf/2002alert39rev1.pdf
*>
建议:
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* Oracle建议用户按照如下方法操作:
1、编辑$ORACLE_HOME/sysman/emd/targets.xml文件,把所有如下行:
<Property NAME="authpwd" VALUE="administrator"/>
替代为:
<Property NAME="authpwd" VALUE="administrator" ENCRYPTED="FALSE" />
(注意‘FALSE’是所有字符大写)
2、重新启动Oracle Enterprise Manager web site或执行在命令行"emctl reload" 。
注意重启动(或重装载)OEM web site更改targets.xml中的如下行:
<Property NAME="authpwd" VALUE="xxxx" ENCRYPTED="TRUE" />
厂商补丁:
Oracle
------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.oracle.com/appserver/浏览次数:2851
严重程度:0(网友投票)