发布日期：2002-08-08
更新日期：2003-04-28

受影响系统：

Oracle Oracle9i 9.0.2

描述：

---

BUGTRAQ  ID: 7395

Oracle9iAS Web Cache是一款Oracle 9iAS应用服务程序的WEB缓冲解决方案，提供快速显示动态WEB内容。

Oracle9iAS Web Cache的管理接口不正确加密敏感验证信息，远程攻击者可以利用这个漏洞嗅探网络获得明文密码信息。

由Oracle9iAS Web Cache的管理接口需要的密码默认情况下没有加密，攻击者可以通过嗅探管理接口程序所在网络，有可能截获管理员密码，利用这个密码可以对系统进一步进行攻击。

<*来源：Oracle security alert
  
  链接：http://otn.oracle.com/deploy/security/pdf/2002alert39rev1.pdf
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* Oracle建议用户按照如下方法操作：

1、编辑$ORACLE_HOME/sysman/emd/targets.xml文件，把所有如下行：

<Property NAME="authpwd" VALUE="administrator"/>

替代为：

<Property NAME="authpwd" VALUE="administrator" ENCRYPTED="FALSE" />

(注意‘FALSE’是所有字符大写)

2、重新启动Oracle Enterprise Manager web site或执行在命令行"emctl reload" 。

注意重启动(或重装载)OEM web site更改targets.xml中的如下行:

<Property NAME="authpwd" VALUE="xxxx" ENCRYPTED="TRUE" />

厂商补丁：

Oracle
------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.oracle.com/appserver/

浏览次数：2838
严重程度：0（网友投票）