发布日期：2005-10-08
更新日期：2005-10-08

受影响系统：

Oracle HTML DB 1.6.1
Oracle HTML DB 1.6
Oracle HTML DB 1.5.1
Oracle HTML DB 1.5

描述：

---

BUGTRAQ  ID: 15033

Oracle是一款大型的商业数据库系统，Oracle HTML DB是Oracle数据库的快速web应用开发工具。

Oracle HTML DB中存在明文存储口令漏洞。在手动安装时，应用程序在文件系统中以明文文件存储“SYS”用户的口令。本地攻击者可以访问这个文件，并检索到口令，获得管理权限访问。

<*来源：Alexander Kornbrust （ak@red-database-security.com）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=112870441917345&w=2
        http://www.oracle.com/technology/deploy/security/pdf/cpujul2005.html
*>

建议：

---

临时解决方法：

手动删除install.lst文件。

厂商补丁：

Oracle
------
Oracle已经为此发布了一个安全公告（cpujul2005）以及相应补丁:
cpujul2005：Critical Patch Update - July 2005
链接：http://www.oracle.com/technology/deploy/security/pdf/cpujul2005.html

浏览次数：2817
严重程度：0（网友投票）