安全研究

安全漏洞
Oracle9iAS Web Cache管理接口明文密码漏洞

发布日期:2002-08-08
更新日期:2003-04-28

受影响系统:
Oracle Oracle9i 9.0.2
描述:
BUGTRAQ  ID: 7395

Oracle9iAS Web Cache是一款Oracle 9iAS应用服务程序的WEB缓冲解决方案,提供快速显示动态WEB内容。

Oracle9iAS Web Cache的管理接口不正确加密敏感验证信息,远程攻击者可以利用这个漏洞嗅探网络获得明文密码信息。

由Oracle9iAS Web Cache的管理接口需要的密码默认情况下没有加密,攻击者可以通过嗅探管理接口程序所在网络,有可能截获管理员密码,利用这个密码可以对系统进一步进行攻击。

<*来源:Oracle security alert
  
  链接:http://otn.oracle.com/deploy/security/pdf/2002alert39rev1.pdf
*>

建议:
临时解决方法:

如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:

* Oracle建议用户按照如下方法操作:

1、编辑$ORACLE_HOME/sysman/emd/targets.xml文件,把所有如下行:

<Property NAME="authpwd" VALUE="administrator"/>

替代为:

<Property NAME="authpwd" VALUE="administrator" ENCRYPTED="FALSE" />

(注意‘FALSE’是所有字符大写)

2、重新启动Oracle Enterprise Manager web site或执行在命令行"emctl reload" 。

注意重启动(或重装载)OEM web site更改targets.xml中的如下行:

<Property NAME="authpwd" VALUE="xxxx" ENCRYPTED="TRUE" />

厂商补丁:

Oracle
------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.oracle.com/appserver/

浏览次数:2851
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障