发布日期：2004-01-28
更新日期：2004-02-09

受影响系统：

Oracle OracleAS TopLink Mapping Workbench

描述：

---

BUGTRAQ  ID: 9515
CVE(CAN) ID: CVE-2004-2134

OracleAS TopLink Mapping Workbench是OracleAS TopLink的评估工具，OracleAS TopLink是一款基于JAVA的数据库，作为Oracle应用服务程序的组件进行应用开发的系统。

OracleAS TopLink Mapping Workbench当在XML文件中存储密码时使用不强壮加密算法，攻击者可以进行密码恢复。

存储在XML中的密码采用单纯的置换密码然后追加静态字符串到加密密码最后的机制，攻击者如果可以访问XML文件，就能很容易的对此加密密码进行解密。

漏洞发现者没有说明受此漏洞影响的Oracle Application Server releases版本，但是包括后来发行的10g支持Java加密扩展的算法由于对旧的算法保持兼容，也可能存在此漏洞。

<*来源：Pete Finnigan （pete@peterfinnigan.demon.co.uk）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=107531028325112&w=2
*>

建议：

---

厂商补丁：

Oracle
------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.oracle.com

浏览次数：2820
严重程度：0（网友投票）